Diritto tributario e societario, Organizzazione - Finanza - Controllo

Privacy: ecco le novità in vigore dal 19 settembre

Il 4 settembre 2018 è stato finalmente pubblicato in Gazzetta Ufficiale l’atteso D.Lgs. n. 101 del 10 agosto 2018, contenente le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 sulla protezione dei dati personali delle persone fisiche. Il decreto entrerà in vigore il 19 settembre 2018.

Il decreto di adeguamento abroga le disposizioni del D.lgs. 196/2003 non più compatibili con il GDPR, da un lato introducendone di nuove e, dall’altro, integrando e modificando le disposizioni rimaste in vita. Il risultato è una versione del Codice Privacy ridotta ma più coerente con la normativa comunitaria.

La tecnica legislativa adottata è improntata alla finalità di evitare la duplicazione delle disposizioni presenti nel Regolamento; al riguardo, molte disposizioni del previgente codice non sono state espressamente richiamate, in quanto già assorbite dalle norme del Regolamento europeo.

Il legislatore italiano ha scelto di garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Questi ultimi restano fermi nell’attuale configurazione per le materie di competenza degli Stati membri, mentre possono essere rielaborati e modificati su iniziativa delle categorie interessate quali codici di settore.

Il decreto è suddiviso in sei capi e si compone di 27 articoli. Vediamo, in sintesi, quali sono i punti salienti della normativa nazionale di adeguamento.

Interesse pubblico

I trattamenti di dati personali “comuni” effettuati per “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” non hanno bisogno di consenso dell’interessato, trovando base giuridica e presupposto di liceità nelle norme di legge o regolamentari. L’ambito di applicazione soggettivo viene esteso per adeguarsi all’impostazione adottata dal Regolamento. Di conseguenza, scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando soltanto la finalità del trattamento perseguita, cioè se la finalità riguarda un interesse pubblico o privato. La disposizione è quindi applicabile ai soggetti che trattano dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva.

Consenso del minore

Soltanto il minore che abbia compiuto quattordici anni può esprimere il consenso al trattamento dei propri dati personali. Il trattamento dei dati personali del minore di età inferiore a quattordici anni è lecito a condizione che sia prestato da chi esercita la potestà genitoriale.

Dati genetici, biometrici e relativi alla salute

Con riferimento ai dati genetici, biometrici e relativi alla salute, la cui tutela è specificamente rimessa dal Regolamento UE alla normativa nazionale (art. 9, par. 4, Reg.), è stabilito che il relativo trattamento sia subordinato anche al rispetto di misure di garanzia disposte dal Garante con provvedimento adottato almeno ogni due anni. Le misure di garanzia dovranno precisare le misure di sicurezza da adottare, incluse quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità di accesso selettivo ai dati nonché eventuali ulteriori misure volte a garantire i diritti degli interessati.

Trattamento di dati relativi a condanne penali e reati

Il trattamento di dati riguardanti condanne penali e reati (i cui “antenati” nel Codice previgente erano i “dati giudiziari”) è consentito nei limiti di quanto previsto da norme di legge o di regolamento.

Limitazione dei diritti degli interessati

I diritti garantiti all’interessato possono essere soggetti a limitazioni in caso di concreto pregiudizio per altri interessi normativamente tutelati (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura).

Trattamento dati di persone decedute

Il nuovo articolo 2-terdecies sul trattamento relativo ai dati di persone decedute ammette l’esercizio dei diritti dell’interessato a chi abbia un interesse proprio o agisca a tutela dell’interessato o per particolari ragioni familiari, nonché al mandatario.

 

Figure intermedie operanti sotto l’autorità del titolare o del responsabile

Il D.lgs. n. 101/2018 introduce una serie di disposizioni volte a precisare poteri e obblighi in capo al titolare e al responsabile, tra cui la possibilità di delegare compiti e funzioni a persone fisiche operanti sotto la loro autorità e responsabilità. Tale disposizione risolve in parte alcune problematiche sorte a seguito di quanto stabilito dall’art. 28 del GDPR che concepisce il solo responsabile esterno del trattamento.

Nuove sanzioni penali

In materia penale, si è ritenuto di depenalizzare la fattispecie di cui all’art. 169 del Codice (“Misure di Sicurezza”), non essendo più previste dalla normativa comunitaria le misure minime di sicurezza.

A fronte delle aspre sanzioni amministrative introdotte dal Regolamento, il legislatore italiano ha ritenuto di non poter mantenere alcune sanzioni penali, le quali sovrapponendosi a quelle amministrative avrebbero creato un effetto sanzionatorio eccessivo.

Sono state, però, introdotte nuove fattispecie penali:

– l’ipotesi di trattamento illecito contraddistinta dall’intento di arrecare danno all’interessato,

– la fattispecie della comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala,

– la fattispecie di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.

E’ stata mantenuta la sanzione penale per le ipotesi di falsità nelle dichiarazioni e notificazioni al Garante, previsione del resto esclusa dall’ambito di applicazione delle sanzioni amministrative.

In riferimento al reato di inosservanza di provvedimenti del Garante, si è ritenuto di mantenere l’illecito penale.

Caratteristiche del reclamo

Il procedimento relativo all’esame dei reclami sarà disciplinato dal Garante con un proprio regolamento. Il nuovo art. 143 del codice precisa, al 3° comma, che il Garante decide il reclamo entro nove mesi dalla presentazione.

Disciplina semplificata per piccole e medie imprese

Il Garante ha il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.

Regime transitorio delle sanzioni

L’applicazione delle sanzioni dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del decreto, della fase di prima applicazione delle sanzioni stesse. Ciò significa che le ispezioni ci saranno ma terranno conto di tutti gli strumenti che gli ispettori hanno a loro disposizione e non solo delle sanzioni.

Per approfondire le novità legislative e capire come strutturare il GDPR in azienda scrivi a fabio.ferrara@cetnocinquanta.it

 

Articoli correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *