(+39) 06.630 250

Approfondimenti

Adeguato il Codice Privacy al G.D.P.R. (D.Lgs. n°101/2018)

Lo Stato italiano ha emanato la principale normativa di adeguamento al Regolamento europeo inerente alla protezione dei dati personali, noto anche come G.D.P.R.

Rispetto alla disciplina precedente, il Regolamento europeo delinea un sistema di tutela nettamente più impostato sulla prevenzione: molte operazioni che prima potevano essere ritenute accessorie, o comunque interne e non rilevanti a livello formale, come il censimento dei flussi di dati e delle risorse impiegate per il loro trattamento (dopo l’abolizione del Documento Programmatico per la Sicurezza -o D.P.S.-), sono divenute centrali per poter dimostrare la conformità alla normativa.

Spetta infatti al titolare e al responsabile del trattamento dei dati personali valutare la propria struttura interna e le sue criticità, per approntare le misure di sicurezza “adeguate” al caso concreto (a differenza di quelle “minime” indicate espressamente nel Codice italiano del 2003), a pena di sanzioni anche pesanti.

Alla luce degli impegni di sicurezza e di prevenzione fissati dal G.D.P.R. per chiunque tratti dati personali altrui non per attività personali o domestiche, il nuovo Decreto ripristina quindi il D. Lgs. n°196/2003, innovandone il contenuto a integrazione della normativa europea sotto vari aspetti.

Il nuovo Decreto è attualmente oggetto di studio e approfondimento da parte degli operatori e non solo, per poter inquadrare tutte le interazioni con il resto della disciplina, nonché i punti critici. Sono stati comunque isolati alcuni elementi generali, alcuni dei quali possono aiutare a comprendere i principali aggiornamenti della normativa.

DISPOSIZIONI GENERALI

  • Base giuridica del trattamento dei dati: vengono delimitati e meglio regolati i casi in cui è possibile giustificare il trattamento di dati personali con il dovere di adempiere a obblighi di legge o eseguire compiti di interesse pubblico (Artt. 2-ter, 2-sexies, 2-quinquesdecies – 2-septiesdecies del rinnovato Codice italiano). Specificazioni simili riguardano anche il trattamento di dati relativi a condanne penali e reati (Art. 2-octies).
  • Codici deontologici: al Garante italiano per la protezione dei dati personali viene confermato il potere di emanare regole e indicazioni anche mediante i codici deontologici (Art. 2-quater). Il contenuto sarà da rispettare per poter ritenere lecito il trattamento in determinate ipotesi (determinati dati sensibili, trattamento effettuato per adempiere a obblighi di legge o svolgere compiti di interesse pubblico, altri casi più specifici di cui al Capo IX del G.D.P.R.). A tale strumento si aggiungono le linee guida e le autorizzazioni generali periodiche.
  • Consenso del minore per i servizi della società dell’informazione: scende a 14 anni l’età a partire dalla quale è valido il consenso prestato dal minore per poter usufruire di servizi della società dell’informazione; è tuttavia richiesto di fornire un’informativa particolarmente semplice e chiara (Art. 2-quinques).
  • Misure di garanzia: per il trattamento di particolari dati sensibili (genetici, biometrici e relativi alla salute) è prevista l’emanazione di un elenco di misure di garanzia specificamente indicate dal Garante per assicurare la protezione di tali dati (Art. 2-septies).
  • Status dei dati illecitamente trattati: viene confermata l’inutilizzabilità di dati raccolti o trattati in violazione delle norme previste per le varie ipotesi, salve le eccezioni disciplinate dalle regole processuali per il caso di utilizzo in sede giudiziaria (Art. 2-decies, 160-bis).
  • Limitazioni ai diritti degli interessati: sono specificati i limiti, per la maggior parte connessi a ragioni di giustizia o di pubblico interesse, all’esercizio dei diritti da parte degli interessati (Artt. 2-undecies – 2-terdecies).
  • Organigramma interno: a completamento del sistema disegnato dal G.D.P.R., improntato maggiormente a definire la catena di responsabilità tra il titolare del trattamento dei dati personali e i soggetti esterni di cui si avvale per effettuarlo, viene dedicata una norma che recupera la facoltà del titolare o del responsabile di individuare formalmente delle persone al proprio interno, autorizzate a compiere determinate funzioni (Art. 2-quaterdecies).

DISPOSIZIONI SPECIFICHE PER ALCUNI TRATTAMENTI

Vengono stabilite (e in parte confermate) delle indicazioni espresse per alcuni trattamenti riconducibili all’obbligo di legge, all’esercizio di pubblici poteri e a situazioni specifiche (es. autorità giudiziarie, difesa dello Stato, documentazione amministrativa e pubblici registri, attività sanitaria, istruzione, finalità storico-statistico scientifiche di pubblico interesse, rapporto di lavoro, patronati, assicurazioni, comunicazioni elettroniche, giornalismo) (Artt. 45-bis – 139).

  • Rapporto di lavoro: anche per tale ambito è prevista l’emanazione di regole specifiche (definite deontologiche ma di fatto cogenti una volta emanate); viene poi specificato l’obbligo di fornire al candidato l’informativa specifica al primo contatto utile successivo alla ricezione del cv spontaneo.
  • Istituti di patronato: a precisazione della disciplina generale in materia di criteri di liceità del trattamento, viene chiarito che il mandato di assistenza conferito ai patronati legittima anche l’accesso di questi ultimi alle banche dati degli enti erogatori delle prestazioni previdenziali, sociali e assistenziali.
  • Comunicazioni indesiderate: si conferma la necessità del consenso per ogni comunicazione promozionale proveniente da sistemi automatizzati o comunque senza operatore; tale consenso pare invece essere stato configurato secondo il meccanismo di cd. opt-out (le comunicazioni sono valide salvo che l’interessato non abbia espresso un proprio dissenso preventivo tramite l’annotazione in un registro delle opposizioni) per le altre comunicazioni, salva la opportuna prudenza in attesa del completamento degli interventi normativi.

TUTELA DELL’INTERESSATO E SANZIONI

  • Iniziativa dell’interessato: l’interessato che ritenga di aver subito un pregiudizio dovuto alla violazione delle norme inerenti al trattamento dei dati personali può alternativamente interessarne l’autorità giudiziaria oppure il Garante mediante un reclamo; in quest’ultima ipotesi, come nel caso in cui riceva segnalazioni, il Garante potrà attivare i propri poteri di accertamento, sanzionatori, ordinatori, di segnalazione alle altre autorità eventualmente competenti per quanto accertato. Sono previste regole dettagliate per ciascuno dei poteri appena indicati (Artt. 141 – 152).
  • Applicazione delle sanzioni amministrative e comportamento del destinatario: sono definiti i criteri per la definizione delle sanzioni, nonché le procedure per la loro notificazione, la loro contestazione o la loro definizione in forma agevolata (Art. 166). Ulteriori indicazioni sono rese direttamente nel testo del D. Lgs. n°101/2018, con finalità di raccordo tra le novità immesse nelle Codice con quelle previste nelle altre normative procedurali o amministrative.
  • Sanzioni penali: nonostante gli annunci originari, risultano confermate alcune fattispecie penalmente rilevanti; tra le altre, si segnala la falsità di dichiarazioni o di atti resi al Garante durante l’attività di accertamento, l’inosservanza di provvedimenti indicati dal Garante, l’acquisizione fraudolenta e la diffusione illecita di dati personali oggetto di trattamento su larga scala (Artt. 167 – 172).

*****

In attesa dell’adozione di tutti i provvedimenti di attuazione, le disposizioni transitorie prevedono la continuazione della validità dei provvedimenti precedenti (autorizzazioni generali, codici di condotta), nonché un periodo di applicazione “calmierata” delle sanzioni amministrative in caso di accertamento.