Premessa

Il 4 settembre 2018 è stato pubblicato sulla Gazzetta Ufficiale l’atteso decreto italiano sulla privacy (D.Lgs. 10 agosto 2018 n. 101 – “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”) che ha lo scopo di armonizzare la disciplina nazionale con le disposizioni del Regolamento Europeo (GDPR) in vigore dal 25 maggio 2018. Il decreto è entrato in vigore dal 19 settembre 2018.

L’approccio utilizzato dal legislatore è stato quello della continuità, ovvero di mantenere comunque in vita il Codice della Privacy, nel cui testo è intervenuto per abrogare, aggiungere o modificarne le disposizioni in modo da recepire le norme del GDPR.

Leggi le novità introdotte dal GDPR.

Inoltre il legislatore ha scelto di garantire la continuità mantenendo, per un periodo transitorio, la validità dei provvedimenti del Garante, in  quanto compatibili con il suddetto Regolamento e  con  le disposizioni del presente Decreto, e delle Autorizzazioni, oggetto di un successivo riesame, e dei Codici deontologici, eventualmente da rivedere e modificare  in Codici di Settore da parte delle varie categorie.

I consulenti del “Centro di competenza Privacy Sernet” hanno svolto un’analisi preliminare del testo del decreto al fine di evidenziare le principali novità e gli eventuali impatti per le aziende che hanno già implementato gli adeguamenti al Regolamento Europeo 679/2016 (GDPR) o per quelle che ancora non hanno iniziato o completato le attività necessarie.

Dall’analisi svolta si può affermare che il Decreto 101 non richiede modifiche di rilievo alle aziende che già hanno adottato il Regolamento e conferma la validità del modello e della metodologia applicate da Sernet nei progetti di adeguamento al GDPR.

Principali modifiche all’attuale Codice Privacy (D.Lgs 196/2003)

Sanzioni

Le modifiche più rilevanti sono quelle che intervengono sulla Parte III, Titolo III, del Codice, in materia di sanzioni. Il decreto definisce meglio le casistiche per cui ricorrono le sanzioni amministrative previste nell’art. 83 del GDPR, e soprattutto definisce le sanzioni penali previste nella legislazione italiana (le tematiche di natura penale non sono infatti regolamentate dalla normativa europea).

Il legislatore italiano ha deciso, come consentito dal GDPR, di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento.

In particolare si introducono nuovi reati per il trattamento illecito di dati personali, per la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, per le false dichiarazioni rese al Garante, per la violazione del comma 1 dell’art. 4 Statuto dei lavoratori (controlli a distanza). Inoltre, l’acquisizione fraudolenta di dati personali è punita con la reclusione da uno a quattro anni, mentre l’inosservanza dei Provvedimenti del Garante viene punita con la reclusione da tre mesi a due anni.

Poteri del Garante

In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, il Garante ha il compito di promuovere apposite linee guida per fissare modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Per i primi otto mesi dalla data di entrata in vigore del decreto (19 settembre 2018) il Garante tiene conto, ai fini dell’applicazione delle sanzioni, della prima fase di applicazione del decreto. Non si tratta di una moratoria, ma sicuramente di una attenzione particolare data la complessità della materia.

Codici deontologici, autorizzazioni  e provvedimenti del Garante

I codici di deontologia e di buona condotta del ‘vecchio’ Codice Privacy (relativi a trattamenti a fini statistici, di ricerca, per investigazioni difensive e attinenti al settore dell’editoria) continuano a produrre effetti,  a seguito dell’approvazione del Garante che è avvenuta nel mese di Dicembre 2018 . Il Garante ha aggiornato i codici deontologici, oggi chiamati  “Regole deontologiche”, per allinearli al GDPR,  senza apportare novità rispetto alle precedenti versioni.

Avranno una sorte diversa gli attuali codici di deontologia riguardanti i sistemi di informazione creditizia e il trattamento di dati a fini di informazione commerciale (allegati A.5 e A.7) , che saranno sottoposti alla procedura di approvazione introdotta dal GDPR che, se non completata entro sei mesi, ne determinerà la decadenza.

Per quanto riguarda le autorizzazioni generali del Garante, il Decreto 101/2018 rimanda ad un successivo e specifico provvedimento di carattere generale, con l’obiettivo di specificare quali resteranno in vigore, in quanto coerenti con il GDPR e con il Codice Privacy. Il citato Provvedimento è stato pubblicato il 13 Dicembre 2018 (“Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali  nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il D.Lgs. n. 101/2018 di adeguamento del Codice – 13 dicembre 2018”), precisa le Autorizzazioni che risultano compatibili con il GDPR, definisce per ognuna di esse delle prescrizioni ed avvia una consultazione pubblica per raccogliere suggerimenti e aggiornarle.

Nello stesso provvedimento del 13 Dicembre 2018 si stabilisce che le Autorizzazioni generali n. 2/2016, 4/2016 e 5/2016 (rispettivamente “Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”, “Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti” e “Autorizzazione al trattamento dei dati sensibili da parte di diverse categorie di titolari”) risultano prive di specifiche prescrizioni e, pertanto, hanno cessato completamente i loro effetti.

Il mancato rispetto delle autorizzazioni generali che vengono confermate prevede l’applicazione della soglia più alta delle sanzioni amministrative introdotte dal GDPR, vale a dire 20 milioni di euro o, se maggiore, fino al 4% del fatturato mondiale totale, per le imprese.

Infine, i provvedimenti del Garante emessi prima del 25 maggio e, in generale, le disposizioni vigenti in materia di protezione dei dati personali restano applicabili nella misura in cui sono compatibili con il GDPR e con il presente Decreto.

Misure di garanzia

Il decreto in qualche modo reintroduce le misure di sicurezza, rinominandole “misure di garanzia”, pur limitandole ai dati particolari (salute, genetici, biometrici, art. 9 del GDPR). Tali misure dovranno essere contenute in un provvedimento del Garante da emettersi con cadenza almeno biennale, per essere sempre al passo con le tecnologie. Per ora, il trattamento di dati personali relativi alla salute è regolamentato dalle autorizzazioni del Garante, che restano in vigore. Per i dati genetici, in caso di rischio elevato, possono essere richieste ulteriore misure di protezione, tra cui il consenso dell’interessato. Per i dati biometrici, è espressamente ammessa la possibilità di utilizzo per le procedure di accesso fisico e logico ai dati – ferma restando l’adozione di specifiche cautele.

  • Minori e consenso

Definito a 14 anni (anziché ad anni 16 come indicato da GDPR) il limite di età per l’espressione del libero consenso in caso di utilizzo, da parte del minore, di servizi dell’informazione. Va ricordato che sotto tale espressioni ricadono tutti quei servizi attinenti il mondo digital, quali posta elettronica, social, community etc…

  • Curriculum vitae

Il Decreto 101/2018 stabilisce che, per i curriculum inviati spontaneamente,  l’informativa ex art. 13 GDPR vada fornita al momento del “primo contatto utile”, successivo all’invio del curriculum. Nei limiti delle finalità stabilite dall’articolo 6 del Regolamento UE, il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.

  • Attribuzione di funzioni e compiti

Il Titolare del Trattamento può attribuire a persone fisiche, che operano sotto la sua responsabilità, compiti e funzioni connesse al trattamento dei dati. In pratica sopravvive la figura di Responsabile interno del trattamento prevista nel vecchio Codice. Le modalità e l’ampiezza dell’autorizzazione rientrano nell’autonomia di scelta del Titolare del Trattamento.

  • Limitazione dei diritti dell’interessato

Introdotte limitazioni all’esercizio dei diritti dell’interessato in ambito di trattamenti effettuati per ragioni di giustizia (investigazioni difensive, esercizio di un diritto in sede giudiziaria e la tutela della riservatezza del dipendente che effettua una segnalazione ai sensi della legge sul ‘whistleblowing‘).

Nei casi in cui i diritti dell’interessato possono essere limitati, è prevista la possibilità di rivolgersi al Garante per il relativo esercizio e le aziende hanno l’obbligo di informare l’interessato di questa possibilità.

  • Comunicazioni elettroniche e marketing diretto

Per le comunicazioni elettroniche non si segnalano modifiche di rilievo in attesa del prossimo Regolamento Europeo che sostituirà la Direttiva 2002/58/CE, mentre si conferma la necessità di ottenere il consenso dell’interessato per l’invio di materiale pubblicitario, vendita diretta, ricerche di mercato e attività di comunicazione commerciale attraverso mezzi automatizzati (ad es. telefonate senza intervento di un operatore, invio automatizzato di email, SMS).

Stante il tema della protezione dei dati personali di grande attualità, Sernet monitorerà l’evoluzione normativa e, in caso di novità rilevanti, pubblicherà nuovi articoli di approfondimento.

Ti informiamo che il nostro sito utilizza cookie al fine di migliorare la fruibilità del sito. Accedendo ai contenuto di questo sito accetti l'utilizzo di questi cookie. Per maggiori informazioni ti chiediamo di consultare la nostra Privacy e Cookie Policy Informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi