Il D.Lgs. n. 101 del 10 agosto 2018 ha introdotto una serie di disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) n.2016/679 (noto come GDPR) del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Il decreto entrerà in vigore il 19 settembre 2018 ed ha introdotto modifiche ed abrogazioni al Codice Privacy (D.Lgs.196/2003) che rimarrà vigente nel nuovo testo e sarà insieme al GDPR fonte in materia.
Di seguito, i punti salienti:
PARTICOLARI AMBITI DI TRATTAMENTO
1) I trattamenti effettuati per “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (dunque a prescindere la fatto che il trattamento sia operato da soggetto pubblico o privato) aventi ad oggetto dati personali “comuni”, hanno base giuridica e quindi sono leciti se previsti da una norma di legge o di regolamento.
CONSENSO DEL MINORE
2) Consenso del minore che abbia compiuto 14 anni nell’ambito di trattamenti connessi ai servizi dell’informazione (app, social, game, etc…).
SEMPLIFICAZIONI
3) il Garante promuoverà modalità semplificate di adempimento degli obblighi del titolare del trattamento in ossequio alle esigenze di semplificazione delle micro, piccole e medie imprese, (pur essendo per loro integralmente obbligatorio il GDPR).
PARTICOLARI CATEGORIE DI DATI
4) I dati appartenenti a particolari categorie (ex dati sensibili o giudiziari) potranno essere trattati per rilevanti finalità di interesse pubblico. In tal caso vi sarà necessità di previsione normativa e vengono elencati una serie di trattamenti aventi tale particolare natura (es. accesso documenti amministrativi, accesso civico, elettorato, attività sanzionatorie, istruzione e formazione, rapporti di lavoro)
Si rammenta con riguardo al trattamento dei dati concernenti condanne penali e reati (ex dati giudiziari) che resta salvo quanto stabilito dal D.Lgs. n.51 del 18 maggio 2018 che ha recepito in Italia la direttiva UE 2016/680.
5) Il trattamento di dati genetici, biometrici e relativi alla salute, è subordinato alla riserva di legge nonché al rispetto di misure di garanzia (anche di sicurezza come cifratura, pseudo-anonimizzazione, minimizzazione, accesso selettivo, etc…) che saranno disposte dal Garante con provvedimento adottato con cadenza almeno biennale.
6) Ammesso l’utilizzo dei dati biometrici per accesso fisico e logico ai dati, ovviamente nel rispetto dei principi in materia di protezione dei dati personali e delle misure di garanzia sopra menzionate.
INUTILIZZABILITA’ DI DATI
7) La violazione della disciplina in materia di trattamento comporterà l’Inutilizzabilità dei dati.
LIMITAZIONE DEI DIRITTI DEGLI INTERESSATI
8) I diritti degli interessati di cui agli artt.15-22 del GDPR recedono in caso di pregiudizio di altri diritti ritenuti prevalenti (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura).
DATI DI PERSONE DECEDUTE
9) Per il trattamento dei dati di persone decedute viene riconosciuto l’esercizio dei diritti dell’interessato a chi abbia un interesse proprio o agisca a tutela dell’interessato o per particolari ragioni familiari o ad un mandatario.
INCARICATO DEL TRATTAMENTO
10) Viene istituzionalizzata la figura dell’incaricato del trattamento (non espressamente definita ma ammessa dal GDPR) quale soggetto (persona fisica) autorizzato dal titolare o dal responsabile che operi nell’ambito organizzativo di costoro con attribuzione di specifici compiti e funzioni.
DPO OBBLIGATORIO PER AUTORITA’ GIUDIZIARIE
11) Le Autorità giudiziarie nell’esercizio delle proprie funzioni dovranno designare un Responsabile della protezione dei dati.
TRATTAMENTI PER DIAGNOSI E CURA
12) In materia sanitaria non occorre il consenso per il trattamento dei dati per finalità di diagnosi e cura, fermo l’obbligo di rendere l’informativa e rispettare le misure di garanzie stabilite dal Garante con cadenza biennale
TRATTAMENTI NELL’AMBITO DEL RAPPORTO DI LAVORO ED INVIO CURRICULUM
13) Il Garante promuoverà regole deontologiche per il trattamento dati in tale ambito ivi incluse specifiche informazioni da rendere agli interessati.
14) In caso di invio/ricezione di curriculum vitae non occorrerà il consenso al trattamento e l’informativa verrà resa dal titolare al momento del primo contatto utile successivo.
ALTERNATIVITA TRA TUTELA AMMINISTRATIVA E GIURISDIZIONALE
15) In caso di pretesa violazione dei propri diritti l’interessato potrà proporre reclamo al Garante o ricorso all’Autorità giudiziaria.
Il decreto disciplina le modalità di proposizione del reclamo, i tempi del procedimento e la decisione. E’ prevista la segnalazione per avviare l’attività del Garante che potrà operare anche d’ufficio effettuando accessi, ispezioni o verifiche.
QUADRO SANZIONATORIO
16) All’art.166 del nuovo Codice Privacy sono definiti i criteri di applicazione delle sanzioni amministrative pecuniarie ed il procedimento per l’adozione di provvedimenti correttivi e sanzionatori.
Agli artt.167-171 sono viceversa elencate le fattispecie di reato e le sanzioni penali.
REGIME TRANSITORIO
17) Le Autorizzazioni generali verranno attualizzate dal Garante ed i provvedimenti generali continuano ad applicarsi in quanto compatibili.
18) Il decreto fa salva l’adozione di “regole deontologiche” negli ambiti in cui il Regolamento riserva la materia agli Stati membri.
19) Depenalizzazioni. Le sanzioni amm.ve che hanno sostituito le sanzioni penali si applicheranno anche retroattivamente nei procedimenti penali non definiti. Per i procedimenti penali già definiti, in conseguenza della depenalizzazione delle norme il Giudice dell’esecuzione dovrà revocare la sentenza o il decreto dichiarando che il fatto non è previsto dalla legge come reato.
Si rammenta l’obbligatorietà delle disposizioni del Regolamento Europeo (GDRP) dal 25 maggio scorso e la necessità per tutte le aziende private, enti pubblici e liberi professionisti di adeguarsi alle nuove regole, pena l’applicazione di pesantissime sanzioni amministrative (fino a 20 milioni di Euro o il 4% del fatturato) ove addirittura non ricorra la responsabilità penale.
L’applicazione delle sanzioni dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del decreto legislativo citato, della fase di prima applicazione delle sanzioni stesse (art 22, comma 13, del Decreto di adeguamento). Pertanto si invitano quanti ancora non abbiano avviato il processo di adeguamento a procedervi al più presto.
Avv. Antonio Piero Fricchione