Per l’effetto del 19 settembre data di entrata in vigore del d.lgs. n. 101/2018, iniziamo ad entrare nell’ottica di una disciplina privacy duale, forte, da un lato del GDPR e dall’altro del Codice Privacy emendato.  Ecco una sintesi a bullet point delle principali novità introdotte dal decreto 101: 

  • Anzitutto, all’art. 2 viene introdotto un importante richiamo alla legge e ai regolamenti come base giuridica e presupposto di liceità del trattamento svolto “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” nonché per effettuare la comunicazione di dati da un soggetto all’altro nell’ambito di tale contesto.
  • Le regole deontologiche promosse dal Garante ai sensi del GDPR, dovranno essere sottoposte a consultazione pubblica per almeno 60 giorni.
  • I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personaliin relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso avente la potestà genitoriale. Ed i titolari del trattamento dovranno scrivere informative chiare, semplici, concise ed esaustive, facilmente accessibili e comprensibili dal minore, “al fine di rendere significativo il consenso prestato da quest’ultimo.
  • Si chiarisce definitivamente la possibilità data al titolare e al responsabile del trattamento di prevedere, sotto la propria responsabilità enell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
  • Il legislatore ha propeso per il consolidamento del ruolo di Accrediacome ente unico nazionale di accreditamento, lasciando al Garante il potere di assumere tale ruolo in caso di suoi gravi inadempimenti. Non viene reso obbligatorio alcun percorso formativo per il ruolo di DPO né viene richiesta alcuna certificazione.
  • Nell’ambito del trattamento dei dati particolari, con riferimento ai dati genetici, biometrici e relativi alla salute, il Garante emanerà, su base biennale, dei provvedimenti contenenti misure di garanzia, volte ad individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati”.
  • Pertanto, le disposizioni del Codice relative ai dati biometrici, genetici e relativi alla salute continueranno a trovare applicazione, in quanto compatibili, fino all’emanazione dei relativi provvedimenti da parte del Garante.
  • Il trattamento di dati giudiziari può realizzarsi solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, da regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In conseguenza di ciò, scompare l’autorizzazione al trattamento attraverso un provvedimento ad hoc del Garante.
  • I diritti dell’interessato, di cui agli articoli da 15 a 22 potranno essere limitati o esclusi in determinati casi ad esempio quando entrano in contrasto con altre esigenze poste dalle leggi dello Stato, come in materia di antiriciclaggio, nel caso delle prerogative delle Commissioni Parlamentari d’inchiesta, dei trattamenti svolti in occasione dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria, o anche in caso di whistleblowing. Gli stessi, se relativi a persone deceduti, con talune limitazioni, potranno essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, come mandatario, o “per ragioni familiari meritevoli di protezione”.
  • In riferimento aitrattamenti per archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, pur restando in piedi l’assetto normativo di riferimento ex Codice, si rimanda alle disposizioni del Regolamento riguardo le garanzie e le deroghe in esso previste all’art. 89, ossia le misure di sicurezza (pseudonimizzazione, purché compatibile con le finalità); e le deroghe e limitazioni ad esercizio dei diritti da parte del diritto dell’UE o degli Stati membri.
  • In relazione allaricerca medica, biomedica ed epidemiologica, la comunicazione preventiva al Garante nell’ambito delle ricerche effettuate in ambito medico viene sostituita dalla Valutazione d’Impatto Privacy (DPIA) con la conseguente valutazione da parte del Titolare e richiesta di parere preventivo da parte del Garante nei casi di rischio elevato, come previsto dagli artt. 35 e 36 del GDPR. L’esercizio del diritto di rettifica da parte dell’interessato sui dati riguardanti la salute, deve essere annotato senza modificare gli stessi, nei casi in cui tale operazione non comporti alcun effetto significativo sul risultato della ricerca.
  • Il decreto ha poi marginalmente riscritto gli articoli del Titolo X del Codice Privacy, attualizzando le disposizioni normative con riferimenti al telemarketing, già novellato ad opera della L. 5/2018 ma in attesa di un’ulteriore riforma con il nuovo Regolamento e-Privacy al momento al vaglio del legislatore europeo.
  • Dal momento della presentazione dinanzi all’Autorità Garante del reclamo, questo viene definito entro un tempo massimo di nove mesi. Tuttavia, entro tre mesi dalla sua presentazione, l’Autorità Garante informa l’interessato sullo stato del procedimento. Solo in presenza di motivate esigenze istruttorie, comunicate dal Garante all’interessato, il reclamo è deciso entro dodici mesi. In caso di attivazione di una cooperazione tra diverse autorità di controllo, il termine viene sospeso per la durata di tale procedimento.
  • Nel caso di recepimento di curriculum a seguito di candidature spontaneeda parte di soggetti interessati, le informazioni potranno essere fornite al primo contatto utile con l’interessato in questione. In relazione a quanto disposto dal GDPR, il trattamento dei dati presenti nel curriculum e riguardanti la candidatura non richiedono il consenso da parte dell’interessato.
  • Per violazioni amministrativedi cui al Titolo III del Codice che non risultino ancora definite con l’adozione dell’ordinanza ingiunzione potranno usufruire del pagamento in misura ridotta di una somma pari a due quinti del minimo edittale, entro 90 giorni dall’entrata in vigore del decreto (19 settembre 2018). Inoltre, il termine di prescrizione del diritto a riscuotere le somme è interrotto a partire dalla stessa data.
  • Relativamente a reclami, segnalazioni, richieste di verifica preliminare al Garante pregressi, sarà necessario una motivata richiesta di trattazione, pena l’improcedibilità degli stessi, salvo eccezioni. Sarà necessario controllare il sito del Garante, il quale è tenuto a pubblicare informazioni rilevanti entro 15 giornidalla data di entrata in vigore. Infine, i ricorsi pervenuti al Garante e non ancora definiti sono trattati come reclami (la nuova forma prevista dal GDPR).
  • La norma relativa ai Codici di deontologia e buona condottarisulta di incerta interpretazione. Ad ogni buon conto, nel tentativo di attribuire un significato univoco, gli allegati A.5 (Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti) e A.7 (Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale) continueranno a produrre effetti fino a quando gli organismi di categoria sottoporranno i nuovi codici di condotta  all’approvazione del Garante, e questo li approvi entro ulteriori 6 mesi; in caso di mancata approvazione entro i termini, i “vecchi” codici cesseranno di avere applicazione. La conformità al GDPR degli allegati A.1, A.2, A.3, A.4, A.6 sarà verificata, invece, entro 90 giorni dal Garante.
  • Le autorizzazioni generali già adottate dal Garante relative alla necessità del trattamento per (i) un obbligo legale del titolare (ii) lo svolgimento di un compito di interesse pubblico (iii) alcuni casi in cui il trattamento è necessario per categorie particolari di dati personali (iv) il Capo IX del GDPR, ovvero quello relativo a specifiche situazioni di trattamento, dipenderanno da un provvedimento emanato dal Garante e sottoposto a consultazione pubblica e produrranno effetti fino alla pubblicazione di quest’ultimo. Alla stessa data, anche tutte le altre autorizzazioni del Garante adottate prima dell’entrata in vigore del Decreto 101/2018 cesseranno di produrre effetti.
  • I provvedimenti del Garante continueranno ad applicarsi in quanto compatibili.
  • Le disposizioni di legge o regolamentari per motivi di interesse pubblico applicabile alla pubblica amministrazione sono ora applicabili anche ai privati che trattano dati per il medesimo motivo.
  • Nei primi otto mesidalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.
  • Le disposizioni del GDPR avranno effetto retroattivo, ma le sanzioni applicabili alle fattispecie di illeciti penali abrogate non potranno andare oltre l’importo precedentemente previsto dal Codice.

Avv. Anna Lo Conte Clementi 

Comments

comments