Con decreto legislativo 10 agosto 2018, n. 101 (pubblicato sulla G.U. n. 205 del 4 settembre 2018), è stata adeguata la normativa italiana alle disposizioni GDPR – Regolamento Ue 2016/679 (operativo dal 25 maggio 2018), dando luogo all’abrogazione di diversi articoli del Codice della privacy (D.lgs. n. 196/2003).
Il decreto legislativo, in vigore dal 19 settembre 2018, prevede che, per un periodo transitorio, continuano ad essere efficaci i provvedimenti e le autorizzazioni generali del Garante, nonché i Codici deontologici vigenti. Viene arricchito, inoltre, il sistema penale della privacy con nuove ipotesi di reato. Il Garante dovrà, infine, dettare le regole per l’applicazione delle sanzioni amministrative e promuovere modalità semplificate di adempimento degli obblighi per le PMI.
PMI
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Comunicazioni elettroniche
Le disposizioni concernenti le comunicazioni elettroniche non sono state modificate, in attesa dell’emanando regolamento europeo in materia di e-privacy. Molte disposizioni del previgente codice non sono state espressamente richiamate, perché assorbite dalle norme del regolamento europeo.
Legittimo interesse
Il decreto legislativo non ripete le disposizioni, che consentono di trattare i dati senza consenso per la finalità dell’esercizio del diritto di difesa. Il trattamento di questi dati, così come il trattamento dei dati provenienti da registri pubblici, o la comunicazione dei dati infragruppo, rientra nei presupposti di legittimità del trattamento previsti dall’art. 6 del regolamento e in particolare nell’esercizio del “legittimo interesse”.
Pubblica Amministrazione
Per le particolari categorie di dati (sensibili, genetici, biometrici e relativi alla salute) il decreto elenca le finalità di rilevante interesse pubblico, che legittimano il trattamento.
Giustizia
Si estende a tutti gli organi giudiziari l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, assistito da una specifica sanzione penale. Si estende la tutela dell’interessato a riguardo della diffusione in qualunque modo dei provvedimenti giudiziari.
Minori
Arriva a 14 anni la maggiore età per esprimere il consenso al trattamento in relazione ai servizi della società dell’informazione.
Dati particolari
Al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari.
Inutilizzabilità dei dati
Viene ripetuta la norma sulla sanzione generale della inutilizzabilità dei dati quando il trattamento avviene in violazione della disciplina sulla protezione dei dati, con l’eccezione dell’utilizzo in sede giudiziale.
Defunti
I diritti ad oggetto i dati delle persone decedute possono essere esercitati da chi ne ha interesse. Viene introdotta una norma che consente di disporre post-mortem dei propri dati caricati nei servizi della società dell’informazione.
Designati
Prima c’erano i responsabili e gli incaricati. Il regolamento parla di autorizzati. Il decreto legislativo in esame introduce i soggetti designati per specifici compiti, sotto l’autorità del titolare del trattamento.
Trasparenza amministrativa
Vengono riprese, aggiornandole ai dati cosiddetti particolari, le norme sull’accesso ai documenti amministrativi e sulla trasparenza delle P.A.
Sanità
Le norme del codice vengono sottoposte a revisione, per tenere conto del fatto che il consenso non è più la base giuridica del trattamento.
Studenti
Viene codificata la possibilità di comunicare i dati degli studenti universitari per favorirne l’accesso al mondo del lavoro.
Curriculum vitae
Viene confermata l’esonero dall’obbligo di rendere l’atto di informazioni a coloro che inviano spontaneamente il curriculum per cercare un lavoro.
Reclami
Viene cancellato il ricorso, come forma di tutela, sostituito dal reclamo, alternativo al ricorso in tribunale.
Garante privacy
Il decreto aggiorna i poteri e i compiti del Garante per la privacy, i cui componenti verranno nominati dal Parlamento sulla base di una procedura selettiva.
Sanzioni
Il Garante dovrà scrivere le regole per l’applicazione delle sanzioni amministrative.
Reati
A fronte di elevatissime sanzioni amministrative dettate dal regolamento, sono state abrogate le sanzioni penali sovrapponibili a quelle amministrative, violando così il principio del “ne bis in idem”.
Il decreto legislativo inserisce nel sistema penale privacy i seguenti reati: trattamento illecito di dati, comunicazione, diffusione illecita di dati, acquisizione fraudolenta di dati, false dichiarazioni al Garante, interruzione esercizio poteri del garante, inosservanza provvedimenti del Garante.
Norme transitorie
Il decreto legislativo consente la definizione agevolata dei procedimenti pendenti relativi a violazioni amministrative, previo pagamento di una favorevole oblazione.
Per gli affari pregressi, gli interessati dovranno inviare una dichiarazione di interesse.
Per i fatti già previsti come reato e ora depenalizzati, è prevista la procedura di trasmissione al Garante da parte degli organi giudiziari procedenti.
Provvedimenti del Garante
Continuano a essere efficaci, nella parte in cui sono compatibili, i provvedimenti del Garante già emessi. Prevista una procedura di riesame e revisione delle autorizzazioni generali e dei codici deontologici, allegati al Codice della privacy.
Fonte: decreto legislativo 10 agosto 2018, n. 101 (pubblicato sulla G.U. n. 205 del 4 settembre 2018)
