Il 4 Settembre è stato pubblicato nella Gazzetta Ufficiale il Decreto Legislativo numero 101 del 10 Agosto 2018 in materia di riservatezza e protezione dati, chiamato “Codice Italiano della Privacy” ufficialmente rubricato come: Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Chiariamo subito un fatto importante!
Era giuridicamente necessario tale decreto legge?
In una parola: no! Dall’entrata in vigore del GDPR tutti siamo obbligati a rispettarlo senza che intervenga nessuna legislazione locale.
Il Reg. UE 2016/679 GDPR del 27 Aprile 2016 è divenuto effettivo e quindi operativo dal 25 Maggio 2018 in tutti gli Stati membri dell’Unione Europea, data dalla quale è appunto obbligatorio.
Il regolamento europeo in sé non ha bisogno di alcuna normativa nazionale per essere valido ed esecutivo all’interno dell’ordinamento giuridico degli Stati dell’Unione, quindi non vi era alcun bisogno da parte del Governo Italiano di emettere un decreto. Tutti gli Stati sono obbligati alla piena osservanza dalla data del 25 Maggio ultimo scorso come sopra indicato.
Tuttavia, il Governo ha ritenuto di dover provvedere tale decreto in modo da armonizzare la disciplina della privacy così da chiarire quelle facoltà e deleghe lasciate appositamente dal regolamento europeo agli Stati membri.
La legge di delegazione Europea.
Pertanto, il decreto italiano in questione, in attuazione dell’art. 13 della legge di delegazione Europea 2016-2017, introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR.
Il decreto chiarisce alcune aree decisive quali i diritti di categorie particolari, i diritti dei minori e dei defunti.
Il decreto introduce novità?
No, nel senso che non può modificare il regolamento in modo da renderlo differente! Il regolamento UE 2016/679 GDPR non può essere stravolto da nessun decreto nazionale. In sostanza, le cose da fare sono quelle. A limite, potreste modificare i documenti dove citate ad esempio “In conformità del Reg. UE 2016/679 GDPR” con “In conformità con il D. Lgs. 101 del 10/08/2018” ma non è obbligatorio, poiché già è chiara la disciplina di riferimento.
Sono attese (v. sotto) linee guida per la semplificazione per le piccole e medie imprese ma non nel senso che potranno essere esentate dalla normativa GDPR. In sintesi, le piccole aziende potranno semplificare eventualmente alcuni processi – che nella maggior parte dei casi, se il sistema di conformità è stato realizzato in modo accurato e professionale, già tali processi sono progettati per ridurre la complessità del GDPR e hanno un impatto minimo sulla gestione aziendale – ma non potranno lasciare alle imprese libertà di non applicabilità del regolamento.
Il testo dell’art. 1 del decreto, che qui di seguito riportiamo, chiarisce:
Art. 1 [D. Lgs. 101 del 2018]
Modifiche al titolo e alle premesse del decreto legislativo 30 giugno 2003, n. 196
- Al titolo del decreto legislativo 30 giugno 2003, n. 196, dopo le parole «dati personali» sono aggiunte le seguenti: «, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».
- Alle premesse del decreto legislativo 30 giugno 2003, n. 196, dopo il terzo Visto sono inseriti i seguenti:
«Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017» e, in particolare, l’articolo 13, che delega il Governo all’emanazione di uno o più decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);».
Al capo 1 lettera c dell’art. 2 si legge:
«Capo I (Oggetto, finalità e Autorità di controllo)» c) l’articolo 1 [del vecchio D. Lgs. 196/2003 nda] è sostituito dal seguente: «Art. 1 (Oggetto) . – 1. Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.»;
Il GDPR è la norma che regolamenta la protezione e la riservatezza dei dati delle persone fisiche residenti nella UE. Qualora dunque nei documenti voleste citare il D. Lgs. 101/2018 potete farlo ed è chiaro che tutto il vostro sistema deve essere uniforme al disposto del Reg. UE 2016/679 GDPR.
Punti salienti del D. Lgs. 101/2018
Ribadiamo. Tutto quanto segue non introduce cose nuove che il GDPR non aveva previsto e pertanto non dovete fare niente di nuovo se già il vostro sistema di conformità è adeguato al rispetto del regolamento europeo e se le attività riguardanti la protezione dei dati personali sono uniformate al disposto del Reg. UE 2016/679 GDPR.
Art. 2
L’art. 2 introduce un richiamo alla legge e ai regolamenti come base giuridica per la liceità del trattamento “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” come pure per realizzare la comunicazione di dati da un soggetto sotto tali circostanze.
Art. 2 quater [Garante]
- Il Garante promuove, nell’osservanza del principio di rappresentatività e tenendo conto delle raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali, l’adozione di regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al capo IX del Regolamento[ UE 2016/GDPR], ne verifica la conformità alle disposizioni vigenti, anche attraverso l’esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.
- Lo schema di regole deontologiche è sottoposto a consultazione pubblica per almeno sessanta giorni.
Se ce ne fosse bisogno, il Garante è l’autorità di controllo e quindi quella che ha il compito di far rispettare il regolamento.
Art. 2 quinquies n. 2 – 2 sexies lett. S – Art. 11 [Minori]
Come da regolamento, è previsto che i minori che hanno compiuto il quattordicesimo anno di età hanno facoltà di esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per chi non ha ancora compiuto 14 anni, rimane valido il requisito della potestà genitoriale. Il titolare del trattamento deve dunque fornire informative chiare e semplici, che siano concise ma al tempo stesso esaurienti. Tutte le informative – ma anche quelle rivolte ai soggetti maggiorenni – devono essere facilmente accessibili e comprensibili, “al fine di rendere significativo il consenso prestato da quest’ultimo [minore]”.
Dati particolari
Per quanto riguarda i dati di tipo genetico, biometrico e i dati sulla salute, ogni biennio il Garante emanerà specifici provvedimenti con delle misure di garanzia. […le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati] Art. 2 septies n. 5.
Art. 5 lett. b
Il principio del pari rango a giustificazione di un trattamento di dati personali è mantenuto nel caso di dati relativi alla vita sessuale, all’orientamento sessuale o alla salute.
Diritti dell’interessato e limitazioni.
I diritti dell’interessato, sanciti dagli articoli da 15 a 22 del Reg. UE 2016/679 GDPR, possono essere limitati o esclusi in determinati casi, quando entrano in contrasto con altre esigenze posta da leggi dello Stato.
Pertanto, a parte i casi di leggi penali, ad es. criminalità organizzata, terrorismo, etc., i casi in cui un trattamento è reso necessario per ragioni fiscali, non richiede autorizzazione da parte del soggetto interessato.
I diritti dell’interessato potranno essere esercitati anche quando riguardano persone defunte, con alcune limitazioni, chi ha un interesse proprio, o agisce a tutela dell’interessato, come mandatario, o “per ragioni familiari meritevoli di protezione” [Art. 2-terdecies]
Art. 2-terdecies n. 5
È qui palesato che il titolare e il responsabile del trattamento hanno la possibilità, sotto la propria responsabilità e assetto organizzativo, di attribuire a persone fisiche espressamente designate e che operano sotto la loro autorità, compiti e funzioni connessi al trattamento dei dati personali.
Come ovvio, un’impresa può assegnare a un proprio dipendente compiti specifici in merito al trattamento dei dati.
Art. 9 lett. c – Il caso in cui si ricevono CV non richiesti.
Quando, come capita soprattutto mediante il sito web aziendale o per email, si ricevono curricula di candidati in modo spontaneo, l’informativa privacy va fornita al primo contatto utile e non vi è bisogno dunque di richiedere consenso.
Art. 13 Reclamo.
I soggetti interessati possono inoltrare reclamo al Garante e possono ricorrere all’Autorità Giudiziaria.
- 3. Il Garante decide il reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l’interessato sullo stato del procedimento.
Art. 14 n. 4
Il Garante, inoltre, ha facoltà di introdurre nuovi meccanismi di semplificazione per le micro e piccole imprese con riferimento agli obblighi sorgenti in capo al titolare del trattamento. Tali semplificazioni sono previste da una direttiva europea (2003/361/CE) e sono attese linee guida in tal senso.
Art. 15 – Sanzioni
Le sanzioni penali previste dal precedente Codice Privacy (D. Lgs. 196/2003 non più valido) sono oggetto di rimodulazione in base al disposto del Reg. UE 2016/679 GDPR. Si configurano dunque nuovi reati di: trattamento illecito di dati; comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza di provvedimenti del Garante; violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Art. 20 Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto
I Codici di deontologia e buona condotta di cui agli Allegati A5 e A7 del Codice Privacy (D. Lgs. 196/2003) continueranno a produrre i loro effetti sino alla definizione della procedura di approvazione dei nuovi codici, attraverso un percorso di un anno dalla entrata in vigore del decreto. Per quanto riguarda gli altri Codici (Allegati A1, A2, A3, A4, A6 del Codice Privacy), il Garante effettuerà un esercizio di compatibilità con il GDPR.
Art. 22 – Altre disposizioni transitorie e finali
È significante rilevare che: “i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del presente decreto”.
- Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’articolo 1, paragrafo 3, del Reg. UE 2016/679 GDPR. 2. A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell’articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all’articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all’articolo 10 del medesimo regolamento. 3. Sino all’adozione dei corrispondenti provvedimenti generali di cui all’articolo 2-quinquiesdecies del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, i trattamenti di cui al medesimo articolo, gia’ in corso alla data di entrata in vigore del presente decreto, possono proseguire qualora avvengano in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui siano stati sottoposti a verifica preliminare o autorizzazione del Garante per la protezione dei dati personali, che abbiano individuato misure e accorgimenti adeguati a garanzia dell’interessato.
Periodo di grazia.
Non è previsto alcun periodo di grazia. Vale a dire, il regolamento è valido e deve essere onorato senza indugio. Tuttavia, il Garante richiama alla prudenza e giudizio nell’applicazione delle sanzioni amministrative durante un periodo di 8 mesi dall’entrata in vigore del decreto.
Pertanto, se siete in regola e non fate cose allarmanti, per i peccati veniali venite graziati almeno per i prossimi 8 mesi.
Clicca qui per scaricare il testo del D. Lgs-101- del 10 Agosto 2018
Per ulteriori chiarimenti, leggete questo articolo