E’ entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101  che adegua il Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento (UE) 2016/679.

In data 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 101/2018 di armonizzazione della normativa nazionale al Regolamento Ue n. 679 del 2016 (“GDPR”).  Il suo obiettivo è di dare all’Europa, ai suo Stati e ai suoi cittadini una normativa comune sul trattamento dei dati personali.

ll Decreto, vigente dal 19 settembre 2018, apporta numerose modifiche e abrogazioni al Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno)

COSA PREVEDE:

  • definisce in modo chiaro cosa si intenda per comunicazione e diffusione dei dati personali dei dati personali;
  • individua nel Garante della privacy l’autorità incaricata del controllo e della promozione delle regole deontologiche in materia;
  • stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
  • tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
  • considera ovviamente rilevante l’interesse pubblico, che può portare ad utilizzare i dati personali di determinati soggetti;
  • Il d.lgs. 101/2018 stabilisce che l’informativa ex art. 13 GDPR vada fornita al momento del “primo contatto utile”, successivo all’invio del curriculum. Nei limiti delle finalità stabilite, il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.
  • Sono innovativi anche i riferimenti al telelavoro, lavoro agile e domestico e al controllo a distanza, in riferimento al quale viene ribadito il divieto di controllo a distanza dei lavoratori previsto dall’art. 4 dello Statuto dei Lavoratori.
  • dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati;
  • le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità;
  • e’ ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione; al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
  • viene introdotto il concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società;
  • viene data la possibilità (su autorizzazione dell’interessato) di comunicare i dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale;
  • SEMPLIFICAZIONI PER PMI: Gli adempimenti privacy per le PMI saranno semplificati. Il nuovo articolo 154-bis, comma 4 del Codice Privacy (introdotto dal Decreto 101) prevede: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
  • SANZIONI : Nessuna vera e propria sospensione delle sanzioni pecuniarie è prevista dal decreto legislativo n. 101/2018. Tale decreto, in realtà, prevede che per i prossimi 8 mesi il Garante della protezione dei dati personali debba, in sede di verifica del corretto adempimento degli obblighi, prima di irrogare un’eventuale sanzione, tener conto delle difficoltà riscontrate dalle aziende o dagli imprenditori nell’adeguamento alle disposizioni contenute nel GDPR. Pertanto, non si può parlare di una sospensione delle sanzioni amministrative bensì di una facoltà per il Garante della privacy di optare per un diverso tipo di provvedimento. Al contempo, dovrà analizzare la condotta degli stessi in base ai criteri di valutazione espressamente stabiliti dalla normativa comunitaria (art. 83). Nei casi in cui la violazione non sia grave, non sia stata commessa con dolo o colpa e non sia stato arrecato danno all’interessato o comunque il titolare o il responsabile del trattamento abbiano adottato le misure necessarie per attenuare il danno subito dagli interessati, il Garante potrà semplicemente adottare uno dei provvedimenti correttivi ai sensi dell’art. 58 del GDPR *e non erogare ulteriori sanzioni amministrative.  In tutti gli altri casi, invece, punirà pecuniariamente ogni violazione degli obblighi imposti dal Regolamento n. 679/2016.

Quali sono gli altri provvedimenti adottabili dall’Authority

Il GDPR, precisamente all’art. 58, oltre alle predette sanzioni pecuniarie, conferisce all’Autorità di controllo una serie di provvedimenti correttivi. Il Garante può rivolgere avvertimenti, ammonimenti, ingiunzioni; imporre limitazioni provvisorie o definitive al trattamento, incluso il divieto; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali; revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata, qualora non sussistano più i requisiti necessari, nonché ordinare la sospensione dei flussi di dati verso un paese terzo o un’organizzazione internazionale.

Sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo). Vengono penalmente sanzionati:

  • il trattamento illecito di dati personali;
  • l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • le false dichiarazioni rese al Garante;
  • l’inosservanza dei provvedimenti del Garante;
  • La violazione del comma 1 dell’art. 4 Stat. Lav..