GDPR e Codice Privacy, cosa cambia. Più poteri al Garante, possibili semplificazioni per le PMI con riferimento agli obblighi del titolare del trattamento, rimodulazione delle sanzioni e chiarimenti sui diritti.
Ci sono importanti novità e chiarimenti sul tema della protezione dei dati personali e sulle applicazioni del GDPR e delle normative sulla privacy.
E’ stato infatti pubblicato in Gazzetta Ufficiale (G.U. 4 settembre 2018 n. 205 - D.lgs 10 agosto 2018, n. 101) il tanto atteso decreto legislativo di adeguamento della normativa italiana al Regolamento Europeo in materia di protezione dei dati personali (GDPR), che entrerà in vigore il prossimo 19 settembre 2018.
Questa disposizione consente di interpretare meglio il GDPR, osservarne gli obblighi e godere delle opportunità di tutela dei diritti degli interessati e della libera circolazione dei dati.
Che cosa cambia?
L’obiettivo di tutela dei diritti e delle libertà fondamentali della persona resta da perseguire prioritariamente secondo quanto introdotto lo scorso maggio dal GDPR. Il decreto apporta numerose e sostanziali modifiche al Codice della privacy (D.Lgs n. 196/2003) che rimane in vigore anche se privato delle sue prescrizioni fondamentali.
Tutti i provvedimenti del Garante per la protezione dei dati personali continueranno ad essere applicati, in quanto compatibili con il GDPR e con le disposizioni del nuovo decreto.
Continuano a produrre effetti alcuni codici di deontologia e buona condotta precedentemente emanati, fino alla verifica della loro compatibilità con il regolamento europeo che il Garante dovrà effettuare entro il 18 dicembre 2018.
Cosa c’è da sapere: conferme e novità
Il decreto legislativo non modifica il GDPR, i cui requisiti restano immutati, ma interviene in diverse e cruciali aree, dal trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici) ai diritti dei minori e dei defunti, dalla disciplina dei codici di deontologia e buona condotta di cui al Codice Privacy alla ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dalla materia.
Per i primi otto mesi dalla data di entrata in vigore del Decreto n. 101, il Garante terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Questo non significa che ci sarà una moratoria o un periodo di non applicabilità del GDPR, ma che l’autorità adotterà particolare prudenza e giudizio nell’applicazione delle sanzioni amministrative, che come noto sono oggi molto elevate. Tale periodo inoltre servirà al Garante, i cui poteri sono aumentati, per definire, in termini pratici, molti aspetti per cui ancora si attendono chiarimenti.
Tra le novità introdotte dal Decreto di armonizzazione:
| AMBITO | NOVITA' |
| DIRITTI | Possibilità di limitare o escludere i diritti dell’interessato, di cui agli articoli 15-22 del GDPR, in determinati casi, quando entrino in contrasto con altre esigenze poste da leggi dello Stato, (es. norme antiriciclaggio, Commissioni Parlamentari d’inchiesta, investigazioni difensive o esercizio di un diritto in sede giudiziaria e whistleblowing - la legge che tutela “gli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”). Determinazione dei diritti relativi a persone decedute. |
| Attualizzazione delle autorizzazioni generali al trattamento di dati sensibili, di cui al Codice Privacy, attraverso provvedimenti del Garante da sottoporre a consultazione pubblica. | |
| Obbligo di consenso da parte di chi esercita la potestà genitoriale per i minori di 14 anni (il GDPR prevede 16 anni). | |
| Per la ricezione di CV ricevuti spontaneamente, l’informativa potrà essere fornita al momento del primo contatto utile, successivo all’invio del curriculum, ed il consenso al trattamento non sarà richiesto. | |
| Possibilità dell’interessato di ricorrere, oltre al Garante attraverso reclamo, anche all’autorità giudiziaria ordinaria, per la tutela dei propri diritti. | |
| Il consenso dell’interessato per il trattamento di dati sanitari a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge, regolamento o diritto dell’Unione. | |
| Mantenimento (previa ridefinizione e verifica di compatibilità con il GDPR) dei codici di deontologia e buona condotta già previsti dal precedente Codice Privacy. | |
| SANZIONI E VIOLAZIONI | Rimodulazione delle sanzioni penali precedentemente introdotte dal Codice Privacy. I nuovi reati potrebbero essere: • il trattamento illecito di dati; • la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; • l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; • la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; • l’inosservanza di provvedimenti del Garante; • la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. |
| Individuazione di modalità agevolate per la definizione di procedimenti relativi a violazioni pregresse nonché per la trattazione di affari pregressi pendenti presso l’Ufficio del Garante. | |
| RUOLO DEL GARANTE | Emanazione, con cadenza almeno biennale, da parte del Garante di provvedimenti specifici per il trattamento dei dati particolari con riferimento ai dati genetici, biometrici e relativi alla salute, per individuare “le misure di sicurezza necessarie a garantire i diritti degli interessati, ivi comprese quelle tecniche di cifratura, di pseudoanomizzazione e di minimizzazione, e specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati". |
| Responsabilità del Garante, di concerto con l’AGCOM, per la definizione delle regole per l’inserimento dei dati personali – e del loro successivo utilizzo - dei contraenti negli elenchi telefonici e revisione delle regole relative telemarketing. | |
| Estensione dei poteri del Garante, incluso quello di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento. | |
| Consolidamento del ruolo di Accredia come ente unico nazionale di accreditamento. Accredia è l’Ente Unico nazionale di accreditamento designato dal governo italiano, in applicazione del Regolamento europeo 765/2008, ad attestare la competenza, l’indipendenza e l’imparzialità degli organismi di certificazione, ispezione e verifica, e dei laboratori di prova e taratura. Accredia opera senza scopo di lucro, sotto la vigilanza del Ministero dello Sviluppo Economico. | |
| INCARICHI A PERSONE FISICHE | Il Titolare o il Responsabile del trattamento possono attribuire, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il Titolare o il Responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria responsabilità |
Tutti i provvedimenti del Garante per la protezione dei dati personali continueranno ad essere applicati, in quanto compatibili con il GDPR e con le disposizioni del nuovo decreto.
L’insieme delle nuove regole sulla Privacy si rivela quindi complesso e sarà il Garante ad avere l’ultima parola sulle disposizioni attuative e a definire e promuovere misure di semplificazione per le PMI.