La nuova privacy: novità e conferme a seguito dell’entrata in vigore del D. Lgs 101/2018

Il 19 settembre, è entrato in vigore il D. Lgs. 101 del 10 agosto 2018, pubblicato in Gazzetta Ufficiale il 4 settembre, che introduce le disposizioni per l’adeguamento della normativa nazionale al Regolamento UE n. 679/2016 in materia di privacy.

Il Decreto Legislativo emanato dal Governo, che inizialmente era stato pensato per abrogare in toto il vecchio Codice privacy italiano contenuto nel D.Lgs 196/2003, scrivendo un nuovo testo, lo novella, apportandovi numerose modifiche e sostanziali novità.

Abbiamo riportato per voi le principali, riassunte per punti

Novità terminologiche

Nel nuovo apparato normativo spiccano alcune novità anche dal semplice punto di vista terminologico: non si parlerà più di “informativa”, ma di “informazioni rese ai sensi degli articoli 13 e ss del Regolamento”. Allo stesso modo, i dati che prima erano indicati come “sensibili”, come quelli medici, giudiziari, o suscettibili di indicare le convinzioni personali, saranno indicati come “categorie particolari di dati personali”.

Ancora: prima vi erano gli “incaricati” al trattamento, il GDPR parla di autorizzati, mentre il decreto legislativo da ieri in vigore introduce i soggetti “designati” per l’esecuzione di specifici compiti in tema privacy, sotto l’autorità del titolare del trattamento.

Continuità con i Provvedimenti del Garante Privacy

Il D. Lgs 101/2018 stabilisce che tutti i Provvedimenti del Garante anteriori al 25 maggio 2018 resteranno applicabili, qualora compatibili con il Regolamento. Continuità, quindi, ma anche necessità in capo agli operatori del settore di un non semplice compito di coordinamento con il nuovo apparato normativo. Così il comunicato del Consiglio dei Ministri dell’8 agosto: “Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore”.

Semplificazioni per le Piccole Medie Imprese

Il Decreto ha previsto che per le Piccole Medie Imprese il Garante potrà individuare modalità semplificate per adeguarsi alle disposizioni del GDPR. Una notizia attesa da molti, anche se si dovrà capire meglio quale sarà l’effettivo beneficio per le aziende interessate, poiché queste, in teoria, dovrebbero aver già adottato un programma di compliance al GDPR.

Una “moratoria all’italiana” per i primi 8 mesi

Un aspetto di cui si è discusso molto nelle more della pubblicazione del Decreto è stata la possibile previsione nella normativa italiana di una moratoria, da concedere per un periodo di alcuni mesi, per poter permettere agli operatori di adeguarsi a tutti gli adempimenti previsti dal GDPR, opportunamente coordinati con l’emanando decreto, prima di far entrare “a pieno regime” la macchina sanzionatoria.

In realtà il Decreto Legislativo non ha previsto una vera e propria moratoria o un periodo di grazia (in modo simile a quello concesso dal CNIL – l’autorità privacy francese), ma si limita a stabilire che «per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie» (Così l’articolo 22, comma 13 del Decreto 101). Disposizione che, per quanto tentativamente improntata ad un criterio di buon senso, si rivela essere fumosa e poco specifica, lasciando in seno al Garante un immenso potere discrezionale, di cui non sono precisati limiti e confini.

Curriculum vitae

È presente un’importante precisazione delle regole alle quali deve attenersi il titolare del trattamento in caso di ricezione di curriculum vitae spontaneamente inviati e finalizzati all’instaurazione di un rapporto di lavoro. Il decreto stabilisce che le informazioni di cui all’articolo 13 del GDPR vanno fornite solo al momento del primo contatto utile successivo all’invio del CV.

Legittimo il consenso dei minori solo dopo i 14 anni

Il Decreto stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Per i minori di 14 anni si necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore.

I dati dei defunti

I diritti connessi ai dati personali delle persone decedute possono essere esercitati «da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies )

La norma fa tuttavia salva la possibilità per l’interessato ancora in vita, limitatamente ai servizi della società dell’informazione, di comunicare al titolare del trattamento la volontà di non consentire o di limitare, in seguito al suo decesso, il trattamento dei propri dati da parte di altri soggetti.

Le sanzioni penali e amministrative

Le imprese che non sono in regola con le disposizioni del GDPR rischiano di essere assoggettate a sanzioni amministrative che vanno da 10 milioni fino a 20milioni di euro o che sono ricomprese tra il 2% e il 4% del loro fatturato mondiale annuo.

Sarà compito del Garante adottare, in tali casi, le sanzioni previste dall’articolo 83 del GDPR; l’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di un apposito reclamo o ad automa iniziativa del Garante, che agirà tramite accessi od ispezioni della Guardia di Finanza.

In caso di provvedimento sanzionatorio, l’impresa avrà la possibilità di inviare memorie difensive o chiedere di essere sentito dal Garante entro trenta giorni.

Alcune modifiche si registrano invece sotto l’aspetto delle sanzioni n campo penale, ove si è proceduto alla depenalizzazione di alcune vecchie fattispecie, reintroducendone invece altre. Così, ora troviamo il reato di “Trattamento illecito di dati”, che prevede la reclusione da sei mesi fino a un anno e sei mesi (nei casi più gravi fino a tre anni), la “Inosservanza dei provvedimenti del Garante”, punita con la reclusione da tre mesi a due anni, la “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (reclusione da uno a quattro anni), e la “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, con cui si arriva fino alla reclusione da uno a sei anni.

Procedimenti pendenti

Il Decreto legislativo consente la definizione agevolata dei procedimenti pendenti, relativi a violazioni amministrative avvenute nella vigenza del ‘vecchio’ codice Privacy, tramite il pagamento di un’oblazione. Sono previsti infatti 90 giorni per pagare la sanzione ridotta per le contestazioni pendenti, versando i 2/5 del minino edittale. La scadenza per il pagamento dell’importo è fissata al novantesimo giorno dall’entrata in vigore del Decreto legislativo n. 101/2018.

Per gli illeciti costituenti fattispecie di reato nel regime del vecchio Codice privacy, divenuti ora illecito amministrativo si applica la sanzione amministrativa: in tal caso l’autorità giudiziaria dovrà trasmettere gli atti all’autorità amministrativa.

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *