Questo sito utilizza cookie, anche di terze parti, per migliorare i servizi e l'esperienza di navigazione. Chiudendo questo banner, scorrendo la pagina web o cliccando qualunque altro suo elemento acconsentirai all'uso dei cookie. Se vuoi avere maggiori informazioni o sapere come negare il consenso a tutti o ad alcuni dei cookie clicca qui
Ho capito

Novità

Protezione dati - Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale al regolamento (UE) 2016/679 (GDPR)

Lo scorso 10 maggio è stato presentato alle Camere per il previsto parere lo schema di decreto legislativo predisposto dal Governo per adeguare la normativa italiana in materia di protezione dei dati con le prescrizioni del regolamento europeo.

Protezione dati - Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale al regolamento (UE) 2016/679 (GDPR)

A decorrere dal prossimo 25 maggio 2018, il regolamento europeo in materia di protezione dei dati personali “GDPR” sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri.

È però necessario armonizzare la normativa italiana, di cui al Codice della privacy, con le disposizioni del regolamento europeo (delega prevista dalla legge 25 ottobre 2017 n. 163 di delegazione europea 2016-2017, articolo 13). Lo schema di decreto legislativo è stato integralmente riscritto per evitare rilievi di incostituzionalità per eccesso di delega.

La prima versione, approvata dal Consiglio dei ministri lo scorso 21 marzo, prevedeva infatti l’abrogazione totale del Codice della privacy, contravvenendo alla delega del Parlamento che prevedeva l’abrogazione espressa solo delle disposizioni del Codice della privacy incompatibili con le disposizioni contenute nel Regolamento europeo.

Il Codice della privacy rimane quindi in vigore, anche se privato delle sue prescrizioni fondamentali. L’obiettivo di tutela dei diritti e delle libertà fondamentali della persona va ora perseguito secondo le prescrizioni del regolamento europeo. In assenza di una norma definitoria nel regolamento europeo, a fini di chiarezza terminologica, sono introdotte specifiche definizioni di “comunicazione” e “diffusione” di dati personali.

Si intende per “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile, dalle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione.

Si intende per “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Lo schema di decreto legislativo prevede che il titolare o il responsabile del trattamento possano attribuire, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Il titolare o il responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria responsabilità. Lo schema di decreto rafforza il meccanismo delle consultazioni pubbliche, prevedendo un maggiore coinvolgimento delle categorie interessate. Prevede inoltre che il Garante promuova l’adozione di regole deontologiche per particolari trattamenti, ad esempio nell’ambito del rapporto di lavoro.

Sempre nell’ambito dei rapporti di lavoro, si conferma l’esonero, già previsto dal Codice della privacy, dall’obbligo di fornire l’informativa nel caso in cui vi sia ricezione di curriculum trasmessi spontaneamente dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’informativa va fornita eventualmente nel momento del primo contatto successivo all’invio del curriculum.

Si conferma inoltre la disposizione che vieta, senza consenso dell’interessato, l'uso di sistemi automatizzati di chiamata senza intervento di un operatore per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. La disposizione si applica anche alle comunicazioni effettuate per gli stessi scopi mediante posta elettronica, telefax, messaggi mms o sms o di altro tipo.

Si conferma però anche la disposizione, prevista al comma 4 dell’articolo 130 del Codice della privacy, che consente il cosiddetto “soft spam”, e cioè l’utilizzo senza consenso per fini promozionali di indirizzi postali o elettronici forniti da un soggetto in un precedente contatto relativo alla vendita di un prodotto o di un servizio, sempre che l’ulteriore e nuova offerta riguardi prodotti o servizi analoghi a quelli oggetto del precedente contatto, ed il soggetto interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.

Per quanto riguarda i minori, si prevede che possano esprimere il consenso al trattamento dei loro dati solo se hanno compiuto 16 anni. Per i soggetti di età inferiore a 16 anni il consenso è espresso da chi esercita la responsabilità genitoriale.

Relativamente alle misure di garanzia che il Garante deve prescrivere per il trattamento di dati genetici, biometrici e relativi alla salute, si prevede l’adozione di uno specifico provvedimento, previa consultazione pubblica, adottato con cadenza almeno biennale. Nelle more dell’emanazione di tale provvedimento, rimangono in vigore in via transitoria le misure di garanzia previste dalle autorizzazioni generali già emanate dal Garante ai sensi dell’articolo 40 del Codice della privacy.

Si prevede inoltre che, a decorrere dal 25 maggio 2018, continuino ad applicarsi, in quanto compatibili con il regolamento europeo e con le nuove disposizioni di cui al decreto in oggetto, i provvedimenti finora emanati dal Garante. Alcune sanzioni penali attualmente previste dal Codice della privacy sono abrogate e sostituite dalle ingenti sanzioni amministrative previste dall’articolo 83 del regolamento europeo.

Sono state però introdotte nuove fattispecie di reato per i comportamenti che, per vastità di dimensione, coinvolgono un numero rilevante di persone offese, e nelle ipotesi di false comunicazioni al Garante. Al Garante della protezione dei dati vengono attribuiti i poteri di controllo, di diffida e di adozione delle pesanti sanzioni amministrative previste dal regolamento europeo, esercitabili attraverso procedimenti da definire con specifico regolamento.

Facciamo riserva di informarvi all’esito della definitiva approvazione del provvedimento.

 

Condividi la pagina