GDPR adeguamento della normativa nazionale al regolamento UE

Il decreto legislativo n. 101 del 2018, di adeguamento della normativa italiana con le prescrizioni del regolamento europeo in materia di protezione dei dati personali (GDPR), pubblicato in Gazzetta Ufficiale lo scorso mese di agosto, entrerà in vigore il prossimo 19 settembre 2018. Il testo specifica principalmente quali parti del Codice della privacy (D.Lgs. 196/2003) possono […]

Il decreto legislativo n. 101 del 2018, di adeguamento della normativa italiana con le prescrizioni del regolamento europeo in materia di protezione dei dati personali (GDPR), pubblicato in Gazzetta Ufficiale lo scorso mese di agosto, entrerà in vigore il prossimo 19 settembre 2018.

Il testo specifica principalmente quali parti del Codice della privacy (D.Lgs. 196/2003) possono continuare ad essere applicate in quanto compatibili con il nuovo regolamento Gdpr dell’UE in vigore dal 25 maggio scorso.

In particolare il GDPR introduce regole più chiare su informativa e consenso; definisce i limiti al trattamento automatizzato dei dati personali; pone le basi per l’esercizio di nuovi diritti; stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE; fissa norme rigorose per i casi di violazione dei dati (data breach).

Di seguito alcune delle disposizioni di maggiore interesse (fonte: Federalbeghi)

Principi e disposizioni generali
Viene espressamente stabilito che il trattamento dei dati personali deve avvenire nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona, e deve conformarsi alle norme del regolamento europeo  e alle disposizioni del Codice della privacy.
L’Autorità di controllo, prevista dall’articolo 51 del regolamento europeo, è individuata nel Garante per la protezione dei dati personali.

Regole deontologiche
Il Garante promuove l’adozione di regole deontologiche negli ambiti riservati alla regolamentazione da parte degli Stati membri. Si tratta dei trattamenti:
-necessari per adempiere un obbligo legale;
-necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
-relativi a dati genetici, biometrici o relativi alla salute;
-relativi a specifiche situazioni come quelli a scopi giornalistici, espressione artistica, rapporti di lavoro, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Consenso del minore
Per quanto riguarda i minori, viene fissata a 14 anni l’età valida per l’espressione del consenso in relazione all’offerta diretta di servizi della società dell’informazione (iscrizione a social network, servizi di messaggistica, eccetera). Per i soggetti di età inferiore a 14 anni il consenso è espresso da chi esercita la responsabilità genitoriale.
Al di fuori di tali servizi, resta il limite dei 18 anni per la prestazione di un valido consenso al trattamento dei dati.

Trattamento di categorie di dati particolari
Si consente il trattamento delle categorie particolari di dati (gli ex dati sensibili) necessari per motivi di interesse pubblico rilevante a condizione che siano previsti dal diritto dell’UE, o da disposizioni di legge nazionale o di regolamento che specifichino i tipi di dati trattati, le operazioni eseguibili, l’interesse pubblico rilevante nonché le misure appropriate e specifiche per tutelare i diritti fondamentali.

Viene anche fornito un elenco, non esaustivo, dei trattamenti che possono ritenersi effettuati per motivi di rilevante interesse pubblico, tra i quali rientrano, ad esempio, instaurazione, gestione ed estinzione dei rapporti di lavoro di qualunque tipo, materia sindacale, previdenza e assistenza, adempimento di obblighi retributivi, fiscali e contabili, igiene e sicurezza sul lavoro, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva.

Trattamento di dati genetici, biometrici e relativi alla salute
I dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni individuate regolamento europeo (consenso, necessità di assolvere obblighi o esercitare i diritti del titolare, necessità di tutela di interessi vitali dell’interessato, trattamenti effettuati da soggetti quali fondazioni, associazioni senza scopo di lucro), ed in conformità alle misure di garanzia disposte dal Garante.

Attribuzione di incarichi a persone fisiche
Il titolare o il responsabile del trattamento possono attribuire, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Trattamenti nell’ambito dei rapporti di lavoro
È prevista l’adozione di regole deontologiche da parte del Garante anche in materia di rapporti di lavoro, che dovranno indicare anche le modalità per rendere informazioni all’interessato. Si conferma l’esonero, già previsto, dall’obbligo di fornire l’informativa nel caso in cui vi sia ricezione di curriculum trasmessi spontaneamente dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’informativa va fornita eventualmente nel momento del primo contatto successivo all’invio del curriculum.

Comunicazioni elettroniche
Si conferma la disposizione che vieta, senza consenso dell’interessato, l’uso di sistemi automatizzati di chiamata senza intervento di un operatore per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. La disposizione si applica anche alle comunicazioni effettuate per gli stessi scopi mediante posta elettronica, telefax, messaggi mms o sms o di altro tipo.

Si conferma anche la disposizione, prevista al comma 4 dell’articolo 130 del Codice della privacy, che consente il cosiddetto “soft spam”, e cioè l’utilizzo senza consenso per fini promozionali di indirizzi postali o elettronici forniti da un soggetto in un precedente contatto relativo alla vendita di un prodotto o di un servizio, sempre che l’ulteriore e nuova offerta riguardi prodotti o servizi analoghi a quelli oggetto del precedente contatto, ed il soggetto interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.

Sanzioni
Alcune sanzioni penali attualmente previste dal Codice della privacy sono abrogate e sostituite dalle ingenti sanzioni amministrative previste dall’articolo 83 del regolamento europeo. Sono state però introdotte nuove fattispecie di reato per i comportamenti che, per vastità di dimensione, coinvolgono un numero rilevante di persone offese, e nelle ipotesi di false comunicazioni al Garante.

Al Garante della protezione dei dati vengono attribuiti i poteri di controllo, di diffida e di adozione delle sanzioni amministrative, esercitabili attraverso procedimenti da definire con specifico regolamento.

Disciplina transitoria
Continuano a produrre effetti alcuni codici di deontologia e buona condotta precedentemente emanati, fino alla verifica della loro compatibilità con il regolamento europeo che il Garante dovrà effettuare entro il 18 dicembre 2018.

Per quanto riguarda le garanzie specifiche necessarie per trattare dati particolari (ex dati sensibili) rimangono transitoriamente in vigore le prescrizioni contenute nelle autorizzazioni generali adottate dal Garante il 15 dicembre 2016 (provvedimento del Garante del 19 luglio 2018). Il Garante valuterà la conformità del contenuto delle autorizzazioni sinora emanate con le disposizioni del regolamento europeo e provvederà ad adottare un nuovo provvedimento all’esito del procedimento di consultazione pubblica. (articolo 21 decreto legislativo 101/2018)

Continuano ad applicarsi i provvedimenti del Garante compatibili con il regolamento europeo e le disposizioni del provvedimento in oggetto.

Il Registro dei trattamenti cessa di essere alimentato a far data dal 25 maggio 2018 ma continuerà ad essere accessibile fino al 31 dicembre 2019.

Per i primi 8 mesi decorrenti dalla data di entrata in vigore del provvedimento in oggetto, cioè fino al 19 maggio 2019, il Garante tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento europeo, della fase di prima applicazione delle disposizioni sanzionatorie. Non si tratta quindi di una moratoria, ma della aggiunta di un’ulteriore condizione di cui il Garante dovrà tenere conto in sede di applicazione delle sanzioni amministrative, che, secondo il disposto dell’articolo 83 del regolamento europeo, dovranno essere “in ogni singolo caso effettive, proporzionate e dissuasive”.

 

 

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *