Pubblicate le linee guida sulla valutazione d’impatto e in arrivo le linee guida su consenso e profilazione
Saranno mesi intensi, i prossimi, e non solo per titolari e responsabili del trattamento, ma anche per i Garanti europei: ai primi, resta ormai poco per adeguarsi al GDPR entro la scadenza del 25 maggio 2018; ai secondi, spettano onere e onore dell’adozione di provvedimenti interpretativi ed integrativi che possano agevolare la transizione dalla vecchia alla nuova disciplina.
L’Art. 29 Working Party, all’esito della riunione plenaria appena conclusa, ha dato un’importante accelerazione ai propri lavori. Numerose le novità:
- sono state definitivamente adottate le linee guida sulla valutazione d’impatto (la cui consultazione pubblica è stata chiusa lo scorso 23 maggio 2017), già disponibili, e le linee guida sulle sanzioni, che saranno pubblicate a breve;
- sono state redatte le linee guida sulla violazione dei dati personali (data breach) e sulla profilazione, che saranno sottoposte a consultazione pubblica per le prossime sei settimane;
- sono stati avviati i lavori per le linee guida sul consenso, sulla trasparenza, sui data transfer tools e sulle certificazioni, la cui conclusione è prevista tra novembre 2017 e febbraio 2018.
Particolarmente attese sono sicuramente le linee guida sul consenso.
Non sarà di certo passato inosservato che il GDPR annovera, tra le basi giuridiche che legittimano il trattamento (art. 6), oltre – e in alternativa – al “classico” consenso dell’interessato, anche il «perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
Ebbene: il considerando 47 chiarisce che «Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto».
E’ evidente la necessità di un provvedimento che chiarisca la nozione di “legittimo interesse” e, soprattutto, che definisca i casi nei quali il “marketing diretto” può effettivamente concretare un “legittimo interesse” del titolare del trattamento: i rischi di un ricorso strumentale, o quantomeno forzato, a questa base giuridica allo scopo di evitare la raccolta del consenso degli interessati sono tutt’altro che trascurabili (soprattutto al fine dell’invio di comunicazioni promozionali).