Questo sito utilizza cookie, anche di terze parti, per migliorare i servizi e l'esperienza di navigazione. Chiudendo questo banner, scorrendo la pagina web o cliccando qualunque altro suo elemento acconsentirai all'uso dei cookie. Se vuoi avere maggiori informazioni o sapere come negare il consenso a tutti o ad alcuni dei cookie clicca qui
Ho capito

Novità

Protezione dati: adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (GDPR)

Il decreto legislativo di adeguamento della normativa italiana con le prescrizioni del regolamento europeo in materia di protezione dei dati personali è stato pubblicato in Gazzetta Ufficiale (G.U. 4 settembre 2018 n. 205) ed entrerà in vigore il prossimo 19 settembre 2018. Rispetto al testo approvato in prima lettura dal Governo, sono state apportate al provvedimento definitivo alcune modifiche, a seguito del parere espresso dal Parlamento. Premesso che l’obiettivo di tutela dei diritti e delle libertà fondamentali della persona va ora perseguito prioritariamente secondo le prescrizioni del regolamento europeo, il decreto legislativo apporta numerose e sostanziali modifiche al Codice della privacy (decreto legislativo 30 giugno 2003 n. 196) che rimane quindi in vigore anche se privato delle sue prescrizioni fondamentali.

Protezione dati: adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (GDPR)

Il decreto legislativo di adeguamento della normativa italiana con le prescrizioni del regolamento europeo in materia di protezione dei dati personali è stato pubblicato in Gazzetta Ufficiale (G.U. 4 settembre 2018 n. 205) ed entrerà in vigore il prossimo 19 settembre 2018.

Rispetto al testo approvato in prima lettura dal Governo, sono state apportate al provvedimento definitivo alcune modifiche, a seguito del parere espresso dal Parlamento.

Premesso che l’obiettivo di tutela dei diritti e delle libertà fondamentali della persona va ora perseguito prioritariamente secondo le prescrizioni del regolamento europeo, il decreto legislativo apporta numerose e sostanziali modifiche al Codice della privacy (decreto legislativo 30 giugno 2003 n. 196) che rimane quindi in vigore anche se privato delle sue prescrizioni fondamentali.

Di seguito, le disposizioni di maggiore interesse.

Principi e disposizioni generali

Viene espressamente stabilito che il trattamento dei dati personali deve avvenire nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona, e deve conformarsi alle norme del regolamento europeo, entrate in vigore lo scorso 25 maggio, e alle disposizioni del Codice della privacy. (articolo 1 codice privacy)  - L'Autorità di controllo, prevista dall’articolo 51 del regolamento europeo, è individuata nel Garante per la protezione dei dati personali. (articolo 2 bis codice privacy)

Comunicazione e diffusione di dati

A fini di chiarezza terminologica, sono introdotte specifiche definizioni di “comunicazione” e “diffusione” di dati personali, non presenti nel regolamento europeo. Si intende per “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea , dalle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione. Si intende per “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. (articolo 2 ter, comma 4, codice privacy)

Regole deontologiche

Il Garante promuove l’adozione di regole deontologiche negli ambiti riservati alla regolamentazione da parte degli Stati membri. Si tratta dei trattamenti: • necessari per adempiere un obbligo legale; • necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri; • relativi a dati genetici, biometrici o relativi alla salute; • relativi a specifiche situazioni come quelli a scopi giornalistici, espressione artistica, rapporti di lavoro, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Le regole deontologiche sono approvate dal Garante previa consultazione pubblica, coinvolgendo le categorie interessate. Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali. (articolo 2 quater codice privacy) Le regole deontologiche approvate prima dell’entrata in vigore del regolamento europeo continueranno a produrre effetti nell'immediato, ma saranno oggetto nel tempo di aggiornamento ed adeguamento anche attraverso consultazioni pubbliche.

Consenso del minore

Per quanto riguarda i minori, viene fissata a 14 anni l'età valida per l'espressione del consenso in relazione all'offerta diretta di servizi della società dell'informazione (iscrizione a social network, servizi di messaggistica, eccetera). Per i soggetti di età inferiore a 14 anni il consenso è espresso da chi esercita la responsabilità genitoriale. Al di fuori di tali servizi, resta il limite dei 18 anni per la prestazione di un valido consenso al trattamento dei dati. (articolo 2 quinquies codice privacy)

Trattamento di categorie di dati particolari

Si consente il trattamento delle categorie particolari di dati (gli ex dati sensibili) necessari per motivi di interesse pubblico rilevante a condizione che siano previsti dal diritto dell'UE, o da disposizioni di legge nazionale o di regolamento che specifichino i tipi di dati trattati, le operazioni eseguibili, l'interesse pubblico rilevante nonché le misure appropriate e specifiche per tutelare i diritti fondamentali. Viene anche fornito un elenco, non esaustivo, dei trattamenti che possono ritenersi effettuati per motivi di rilevante interesse pubblico, tra i quali rientrano, ad esempio, instaurazione, gestione ed estinzione dei rapporti di lavoro di qualunque tipo, materia sindacale, previdenza e assistenza, adempimento di obblighi retributivi, fiscali e contabili, igiene e sicurezza sul lavoro, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva. (articolo 2 sexies codice privacy)

Trattamento di dati genetici, biometrici e relativi alla salute

I dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni individuate regolamento europeo (consenso, necessità di assolvere obblighi o esercitare i diritti del titolare, necessità di tutela di interessi vitali dell'interessato, trattamenti effettuati da soggetti quali fondazioni, associazioni senza scopo di lucro), ed in conformità alle misure di garanzia disposte dal Garante. Relativamente alle misure di garanzia che il Garante deve prescrivere per il trattamento di dati genetici, biometrici e relativi alla salute, si prevede l’adozione di uno specifico provvedimento, previa consultazione pubblica, adottato con cadenza almeno biennale. Le misure di garanzia potranno individuare ulteriori condizioni di liceità del trattamento, in particolare le misure di sicurezza, comprese le tecniche di cifratura e pseudonomizzazione, e l'accesso selettivo. Tali dati non possono essere oggetto di diffusione. (articolo 2 septies codice privacy) Nelle more, rimangono in vigore in via transitoria le misure di garanzia previste dalle autorizzazioni generali già emanate dal Garante.

Attribuzione di incarichi a persone fisiche

Il titolare o il responsabile del trattamento possano attribuire, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria responsabilità. (articolo 2 quaterdecies codice privacy)

Trattamenti nell’ambito dei rapporti di lavoro

È prevista l’adozione di regole deontologiche da parte del Garante anche in materia di rapporti di lavoro, che dovranno indicare anche le modalità per rendere informazioni all’interessato. Si conferma l’esonero, già previsto, dall’obbligo di fornire l’informativa nel caso in cui vi sia ricezione di curriculum trasmessi spontaneamente dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’informativa va fornita eventualmente nel momento del primo contatto successivo all’invio del curriculum. (articolo 111 bis codice privacy)

Comunicazioni elettroniche

Si conferma la disposizione che vieta, senza consenso dell’interessato, l'uso di sistemi automatizzati di chiamata senza intervento di un operatore per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. La disposizione si applica anche alle comunicazioni effettuate per gli stessi scopi mediante posta elettronica, telefax, messaggi mms o sms o di altro tipo. Si conferma anche la disposizione, prevista al comma 4 dell’articolo 130 del Codice della privacy, che consente il cosiddetto “soft spam”, e cioè l’utilizzo senza consenso per fini promozionali di indirizzi postali o elettronici forniti da un soggetto in un precedente contatto relativo alla vendita di un prodotto o di un servizio, sempre che l’ulteriore e nuova offerta riguardi prodotti o servizi analoghi a quelli oggetto del precedente contatto, ed il soggetto interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.

Sanzioni

Alcune sanzioni penali attualmente previste dal Codice della privacy sono abrogate e sostituite dalle ingenti sanzioni amministrative previste dall’articolo 83 del regolamento europeo. Sono state però introdotte nuove fattispecie di reato per i comportamenti che, per vastità di dimensione, coinvolgono un numero rilevante di persone offese, e nelle ipotesi di false comunicazioni al Garante. Con l'obiettivo di mitigare la mancanza di sanzioni edittali nel minimo, viene introdotta una forma di oblazione consistente nella possibilità per il trasgressore, entro 30 giorni (60 in caso di residenza all'estero) dalla data di comunicazione del provvedimento del Garante, di definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata. (articolo 166, comma 8, codice privacy). Al Garante della protezione dei dati vengono attribuiti i poteri di controllo, di diffida e di adozione delle sanzioni amministrative, esercitabili attraverso procedimenti da definire con specifico regolamento. (articolo 166, comma 9, codice privacy)

Disciplina transitoria

Continuano a produrre effetti alcuni codici di deontologia e buona condotta precedentemente emanati, fino alla verifica della loro compatibilità con il regolamento europeo che il Garante dovrà effettuare entro il 18 dicembre 2018. (articolo 20 decreto legislativo 101/2018)

Per quanto riguarda le garanzie specifiche necessarie per trattare dati particolari (ex dati sensibili) rimangono transitoriamente in vigore le prescrizioni contenute nelle autorizzazioni generali adottate dal Garante il 15 dicembre 2016 (provvedimento del Garante del 19 luglio 2018).

Il Garante valuterà la conformità del contenuto delle autorizzazioni sinora emanate con le disposizioni del regolamento europeo e provvederà ad adottare un nuovo provvedimento all’esito del procedimento di consultazione pubblica. (articolo 21 decreto legislativo 101/2018)

Continuano ad applicarsi i provvedimenti del Garante compatibili con il regolamento europeo e le disposizioni del provvedimento in oggetto.

Il Registro dei trattamenti cessa di essere alimentato a far data dal 25 maggio 2018 ma continuerà ad essere accessibile fino al 31 dicembre 2019.

Per i primi 8 mesi decorrenti dalla data di entrata in vigore del provvedimento in oggetto, cioè fino al 19 maggio 2019, il Garante tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento europeo, della fase di prima applicazione delle disposizioni sanzionatorie. Non si tratta quindi di una moratoria, ma della aggiunta di un’ulteriore condizione di cui il Garante dovrà tenere conto in sede di applicazione delle sanzioni amministrative, che, secondo il disposto dell’articolo 83 del regolamento europeo, dovranno essere “in ogni singolo caso effettive, proporzionate e dissuasive”.

Condividi la pagina