Privacy: pubblicato il dlgs di adeguamento al GDPR, il Regolamento sulla protezione dei dati

In Gazzetta il decreto di raccordo tra normativa italiana e GDPR: previsto un periodo transitorio di adeguamento e modalità di attuazione semplificate per Pmi.

Dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation), in riferimento alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali; tuttavia, si aspettava il decreto legislativo per adeguare la normativa nazionale alle forti novità europee.

Il GDPR e la normativa italiana

E’ stato pubblicato in Gazzetta ufficiale (n. 205 del 4 settembre 2018) il dlgs 10 agosto 2018, n. 101 (ai sensi dell’art. 13 della legge 25 ottobre 2017, n. 163 – legge di delegazione europea) recante disposizioni per adeguare la normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.

Si tratta, quindi, del decreto di raccordo tra la normativa italiana e il GDPR, che disciplina il passaggio dell’ordinamento italiano della privacy (disciplinato sino ad ora dalla Dir 95/46/CEE e dal vecchio Codice della privacy, dlgs 196/2003) al nuovo Regolamento, stabilendo cosa resta in vigore e cosa viene abrogato.

Ricordiamo che in base al GDPR vengono:

  •  introdotte regole più chiare su informativa e consenso
  • definiti i limiti al trattamento automatizzato dei dati personali
  • poste le basi per l’esercizio di nuovi diritti
  • stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE
  • fissate norme rigorose per i casi di violazione dei dati (data breach)

I contenuti del dlgs 101/2018

Il decreto legislativo è costituito da 27 articoli suddiviso in 6 Capi, ossia:

  • Capo I (art. 1) – Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • Capo II (art. 2) – Modifiche alla parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • Capo III (artt. 3-12) – Modifiche alla parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196
  • Capo IV (artt. 13-16) – Modifiche alla parte III e agli allegati del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • Capo V (art. 17) – Disposizioni processuali
  • Capo VI (artt. 18-27) – Disposizioni transitorie, finali e finanziarie

Tra le novità:

Semplificazione Pmi

E’ previsto che il Garante per la protezione dei dati personali dovrà promuovere delle modalità semplificate di adempimento degli obblighi del titolare del trattamento (come disposto al comma 4 del nuovo art. 154-bis del decreto legislativo 30 giugno 2003, n. 196).

Comunicazioni elettroniche

Per quanto riguarda le comunicazioni elettroniche, e-privacy, non ci sono disposizioni in merito; rimaniamo in attesa dell’emanando regolamento europeo.

Legittimo interesse

Il trattamento dei dati senza consenso per la finalità dell’esercizio del diritto di difesa, così come il trattamento dei dati provenienti da registri pubblici, o la comunicazione dei dati infragruppo, rientra nell’esercizio del “legittimo interesse”.

Interesse pubblico

Per il trattamento di dati sensibili finalizzato ad un interesse pubblico (anche se posto in essere da un soggetto privato), il decreto elenca per ciascuna categoria (dati genetici, biometrici e relativi alla salute) le finalità di rilevante interesse pubblico, che ne legittimano quindi il trattamento.

Giustizia e nomina del DPO

L’obbligo di nominare il DPO (responsabile protezione dati) viene esteso a tutti gli organi giudiziari; precisate, inoltre, le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia; rafforzato il divieto di pubblicazione dei dati dei minori, assistito da una specifica sanzione penale.

Consenso dei minori

E’ 14 anni l’età per esprimere il consenso al trattamento in relazione ai servizi della società dell’informazione.

Trattamento dati particolari

Al Garante viene assegnato il compito di scrivere le misure garanzia per il trattamento di dati genetici, biometrici, sanitari. Saranno, infatti, introdotte modalità innovative che, nel rispetto della loro privacy, promuoveranno la possibilità di usare grandi masse di dati per migliorare l’attività di prevenzione e cura.

Defunti

Viene introdotta una norma che consente di disporre post mortem dei propri dati caricati nei servizi della società dell’informazione; chi ha interesse può esercitare i diritti sui dati  delle persone decedute.

I soggetti designati

Il decreto legislativo introduce “i soggetti designati” per specifici compiti, sotto l’autorità del titolare del trattamento, mentre in precedenza si parlava di “responsabili e incaricati” e nel Regolamento, invece, di “autorizzati”.

Trasparenza amministrativa

Riprese e aggiornate le nome sull’accesso ai documenti amministrativi e sulla trasparenza delle PA.

Studenti

Codificata la possibilità di comunicare i dati degli studenti universitari al fine di favorirne l’accesso al mondo del lavoro.

Curriculum vitae

Confermata l’esonero dall’obbligo di rendere l’atto di informazioni a coloro che inviano spontaneamente il curriculum per cercare un lavoro.

Reclamo

Sostituito dal reclamo il ricorso, come forma di tutela alternativo al ricorso in tribunale.

Poteri del Garante

Il provvedimento aggiorna i poteri e i compiti del Garante per la privacy, i cui componenti verranno nominati dal Parlamento sulla base di una procedura selettiva.

Sanzioni

Spetta al Garante scrivere le regole per l’applicazione delle sanzioni amministrative. Inoltre, sono state abrogate le sanzioni penali sovrapponibili a quelle amministrative.

E’ previsto, inoltre, un periodo 8 mesi in cui il Garante, nel decidere eventuali multe, terrà conto del periodo transitorio necessario all’adeguamento.

Nuovi reati

Il sistema penale della privacy si amplia con i seguenti reati: trattamento illecito di dati, comunicazione, diffusione illecita di dati, acquisizione fraudolenta di dati, false dichiarazioni al Garante, interruzione esercizio poteri del garante, inosservanza provvedimenti del Garante.

Periodo transitorio

Il dlgs 101/2018 garantisce, tuttavia, la continuità prevedendo che per un periodo transitorio, continuino ad essere efficaci i provvedimenti e le autorizzazioni generali del Garante. E’ prevista, tuttavia, una procedura di riesame e revisione delle autorizzazioni generali e dei codici deontologici vigenti, allegati al Codice della privacy.

Il Regolamento generale sulla protezione dei dati entra in vigore il 19 settembre 2018.

FONTE: “BibLus-net by ACCA – biblus.acca.it