GDPR: decreto di adeguamento pubblicato in Gazzetta il 04/09/2018

Regolamento europeo privacy decreto legislativo 101 di adeguamento della normativa

E’ terminata l’attesa per l’emanazione del decreto italiano sulla privacy: dal 19 settembre 2018 entra in vigore il decreto legislativo n. 101 del 10 agosto 2018, pubblicato il 4 settembre sulla Gazzetta Ufficiale, che contiene le disposizioni di adeguamento della normativa nazionale al GDPR (General Data Protection Regulation) .

Il decreto adegua il Codice della Privacy (D.L. del 30 giugno 2003, n. 196) italiano alla normativa comunitaria .

Vediamo le novità più importanti introdotte.

GDPR e Codice Privacy

Il D.lgs. 101/2018 adegua la normativa italiana al GDPR, abrogando parti del nostro Codice Privacy e modificandone altre, con il fine di armonizzare la legge italiana al Regolamento Europeo.

L’adeguamento riguarda sia la terminologia (ad esempio, il termine “ricorso” viene sostituito dal termine “reclamo“), sia aree specifiche come il trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici), i diritti dei minori e dei defunti, la disciplina dei codici di deontologia e buona condotta, la ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dalla materia.

Vediamo meglio le modifiche introdotte, che impattano in particolare sul mondo aziendale.

Semplificazioni per le PMI

Il decreto prevede che il Garante emani delle modalità semplificate per l’adeguamento delle micro, piccole e medie imprese alla normativa Privacy. In particolare, l’Art. 154-bis comma 4 del Codice Privacy (introdotto dal Decreto 101) prevede:

Art. 154-bis comma 4 – In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento.

 

Un altra semplificazione riguarda la ricezione dei curricula in azienda, dove l’obbligo di fornire l’informativa scatta solo al momento del primo contatto utile (ad esempio il colloquio), che avviene dopo l’invio del curriculum stesso. Il titolare del trattamento è, quindi, esonerato dall’obbligo di inoltrare l’informativa a chi invia spontaneamente il proprio curriculum.

Soggetti designati per funzioni specifiche

Il titolare o il responsabile del trattamento può nominare una o più persone fisiche per lo svolgimento di specifici compiti o funzioni relativi alla gestione della privacy (Art. 2-quaterdecies).

I soggetti designati devono essere:

persone fisiche (mai giuridiche)
inseriti nell’azienda (un socio, un lavoratore, un collaboratore, ecc.)
nominate con un atto formale, in piena autonomia e responsabilità del titolare o responsabile.

Prima fase transitoria e le sanzioni amministrative

Il decreto 101/2018 prevede una fase transitoria inziale dove per i primi otto mesi dall’entrata in vigore (19/09/2018), il Garante terrà conto dei tempi di adeguamento alle disposizioni sul trattamento dei dati personali nell’applicare eventuali provvedimenti sanzionatori.

Per quanto concerne le sanzioni amministrative in realtà il D.lgs. 101/2018 non aggiunge novità rispetto al GDPR, e il Garante italiano dovrà adottare i provvedimenti correttivi previsti dal Regolamento Europeo.

E’ bene ricordare che le sanzioni amministrative pecuniarie variano a seconda della tipologia di violazione, e possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi meno gravi (come, ad esempio, un trattamento illecito di dati personali, la mancata nomina del DPO, la mancata applicazioni di misure di sicurezza, etc.. ), arrivando a salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa nei casi di violazioni più gravi (come, ad esempio, l’inosservanza di un ordine imposto da un’Autorità competente, o il trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo).

Nonostante il GDPR si focalizzi prevalentemente sulle violazioni di tipo amministrativo, nel Considerando 149 è stabilito che gli Stati Membri “dovrebbero poter stabilire disposizioni relative a sanzioni penali” come strumento di attuazione e tutela della nuova disciplina.

Il provvedimento sanzionatorio sarà emanato solo a seguito di un reclamo o di un’autonoma iniziativa del Garante o a seguito di ispezioni condotte dalla Guardia di Finanza.

GDPR e Liceità del trattamento

L’Art. 6 del GDPR definisce lecito un trattamento dei dati personali solo se ha una base giuridica, quale:

  • Consenso
  • Obbligo di Contratto
  • Obbligo di Legge
  • Interesse Legittimo del Titolare
  • Interesse Vitale
  • Interesse Pubblico

Il comma 2 dell’Art. 6 dello stesso GDPR sostiene inoltre che ogni stato membro può introdurre disposizioni più specifiche. E’ per questo che l’Art. 2-ter del D.lgs. 101 prevede che ci sia una base giuridica derivante da una norma di legge quale requisito più specifico, utile a regolare ad esempio la comunicazione dei dati tra titolari che svolgono un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (si pensi, ad esempio, alle comunicazioni dei dati personali tra Vigili del Fuoco e Protezione Civile).

Consenso del minore

Il Decreto ha abbassato la soglia di età del minore, portandola dai 16 anni (indicati nel GDPR) a 14 anni. Per i minori di 14 anni, il consenso è valido solo se prestato per loro da chi ne esercita la responsabilità genitoriale.

Per i giovanissimi che hanno già compiuto i 14 anni di età ma sono ancora minorenni, il decreto impone che tutte le comunicazioni relative ai trattamenti dei loro dati personali adottino un linguaggio ancora più chiaro e semplice, che sia quindi facilmente comprensibile dal minore e ne renda significativo il consenso prestato.

Dati genetici, biometrici e relativi alla salute

Il D.lgs. 101 demanda al Garante il compito di emanare specifiche misure di garanzia per i trattamenti dei dati genetici, dati biometrici o dati relativi alla salute, come consentito dall’art. 9 del GDPR.

Il Garante dovrà emettere un provvedimento che sarà valido per 2 anni e verrà approvato, solo dopo essere stato sottoposto a consultazione pubblica per un periodo pari a 60 giorni.

Per i dati genetici e quelli relativi alla salute, raccolti per finalità di prevenzione, diagnosi e cura, il Garante dovrà sentire prima il parere del Ministro della salute.

Trattamento dei dati per le persone decedute

Una delle novità più criticate dal Garante Europeo è l’articolo sui diritti delle persone decedute.

Si autorizzano amici, familiari ed altri soggetti ad esercitare i diritti del deceduto. Infatti:

chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione” (art. 2-terdecies D.lgs. 101) può fare le veci del deceduto nell’esercitare i suoi diritti (dall’art. 15 all’art. 22 del GDPR: diritto di limitazione, portabilità, oblio, cancellazione, rettifica, accesso anche su delega, come già avviene sui social, dove è possibile prevedere tale soluzione tecnologica).

Con una dichiarazione scritta, inequivocabile e specifica, l’interessato può disporre diversamente. Questa dichiarazione, tuttavia, non può compromettere eventuali diritti patrimoniali leciti o di difesa di interessi specifici di terzi.

Regole deontologiche

In riferimento a particolari trattamenti di specifici settori (ad esempio lavoro, giornalismo, statistica e ricerca scientifica), il Garante dovrà promuovere, diffondere e far rispettare regole deontologiche.

Lo schema delle regole deontologiche verrà sottoposto a consultazione pubblica per almeno 60 giorni; passati i termini di consultazione pubblica il Garante approverà tali regole.

In presenza di un codice deontologico, approvato dal Garante, il relativo rispetto delle regole costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali.

 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!