Il decreto legislativo 101/2018 – l’Italia verso il GDPR

Come è stato recepito il GDPR dall’Italia?

Come sappiamo, un Regolamento, al contrario di una Direttiva, non necessita di un intervento formale da parte di qualche autorità nazionale ma è considerato come direttamente applicabile ed è destinato a produrre i suoi effetti senza che sia necessario un intervento.

Per questo motivo, il GDPR è pienamente attuativo dal 25 maggio 2018.

 

A cosa serve il decreto 101/2018?

Il GDPR ha abrogato la direttiva 95/46/CE ma non il d.lgs. 196/2003 con cui era stata appunto recepita, a suo tempo, tale direttiva. Infatti il d.lgs.196/2003 non conteneva solo riferimenti a quest’ultima, ma anche ad altri fonti, quali ad esempio, la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Per questa ragione, si è reso necessario emendare il d.lgs. 196/2003 per comprendere quali punti sono stati effettivamente superati e adeguare gli altri al nuovo Regolamento Europeo.

Il decreto n.101/18 del 10 agosto 2018 ed entrerà ufficialmente in vigore dal prossimo 19 settembre.

 

Decreto privacy: i punti salienti

  • I provvedimenti del garante restano validi (Articolo 22 comma 4)

“A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto.”

Quindi i Provvedimenti dell’Autorità Garante (Ex: amministratori di sistema) continuano ad essere in vigore. Inoltre, sono state definite sanzioni penali per chi non osserva tali provvedimenti (art. 170) che prevedono la reclusione da sei mesi a due anni.

 

  • Sanzioni amministrative pecuniarie (Art 166) e sanzioni penali (Art 167, 167-bis, 167-ter, 168, 170, 171)

Il regolamento Europeo GDPR aveva definito soltanto i MASSIMALI delle sanzioni amministrative pecuniarie che potevano arrivare fino a 20 milioni di euro o al 4% del fatturato worldwide.

Nel dlgs 101/2018 vengono definiti i criteri di applicabilità delle sanzioni. E’ importante notare come venga espressamente specificato che “Alla medesima sanzione amministrativa è soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma.

Inoltre, aggiunge anche delle sanzioni penali in base al tipo di illecito (trattamento illecito di dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala ecc..) che prevedono da sei mesi fino a 6 anni.

 

  • Consenso del minore in relazione ai servizi della società dell’informazione (Art. 2 –quinquies)

“1. In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

Nell’articolo 8 del GDPR era indicata come età utile al consenso 16 anni. Nel comma 2, però, veniva specificato che gli stati membri possono abbassare tale soglia fino e non al di sotto dei 13 anni.

 

  • Diritti riguardanti le persone decedute ( 2 –terdecies)

“I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.”

Viene introdotto il concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società;

 

  • Organismo nazionale di accreditamento ( 2 –septiesdecies)

1. L’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b) , del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti.»

L’organo di accreditamento è individuato in ACCREDIA.

 

  • Diffusione e comunicazione ( 2-ter comma 4)

Vengono dettagliati i concetti di “diffusione” e “comunicazione” già indicati nel GDPR.

 

  • Attribuzione di funzioni e compiti a soggetti designati ( 2 –quaterdecies)

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

  1. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.”

Grazie a questo articolo emerge la necessità di creare un vero e proprio “funzionigramma privacy” che permetta di indicare con precisione i responsabili, i soggetti autorizzati e tutti i profili di responsabilità nel trattamento dei dati. La gestione degli adempimenti in ambito di protezione di dati personali dovrà essere preciso e strutturato.

 

  • Informazioni in caso di ricezione di curriculum (Art. 111 –bis)

Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”

 

  • Adozione semplificata per le PMI (Art. 154 –bis comma 4)

“4. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a) , modalità semplificate di adempimento degli obblighi del titolare del trattamento.”

Uno dei compiti per Garante sarà quello di definire della linee guida al fine di adottare modalità semplificate di adempimento al nuovo regolamento riservato alle micro, piccole e medie imprese.

 

  • Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante ( 2 –sexies)

Al comma 2 del presente articolo vengono elencate tutte le materie connesse all’esercizio di pubblici poteri o effettuati da soggetti che svolgono compiti di interesse pubblico.

 

  • Trattamenti in ambito sanitario (Art. 75, 77, 78, 79, 80, 82, 89-bis, 92, 93)

Viene data una grande importanza ai temi relativi ai trattamenti in ambito sanitario. Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità. E’ inoltre ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione.

Un altro fra i compiti del Garante è quello di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;

  • Forme alternative di tutela (Art.140 –bis, 141, 142, 143)

Viene introdotto il reclamo come forma di tutela alternativa al ricorso in tribunale.

 

Vi sarà una deroga delle sanzioni?

Secondo l’art.22 comma 13 del dlgs 101/2018:

“13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti

compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Questo significa che non verranno effettuati controlli fino al prossimo maggio 2019?

In realtà il Garante ha disposto, tramite una deliberazione del 26 luglio 2018 inscritta nei Registro dei provvedimenti (n. 437), un “attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per messo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2018”.

Ciò significa che i controlli sono già partiti e nemmeno l’articolo 13 sopraccitato esclude la possibilità dell’applicazione di sanzioni ma solo del fatto che “il Garante per la protezione dei dati personali tiene conto della fase di prima applicazione delle disposizioni sanzionatorie.”

 

Condividi