TUTELA DEI DATI PERSONALI
Approvato in via definitiva il nuovo testo del Codice della privacy novellato e coordinato al GDPR.
Nel Consiglio dei Ministri dell'8 Agosto 2018, il Governo - dopo l'acquisizione dei previsti pareri parlamentari - ha licenziato il testo definitivo del decreto legislativo che novella e modifica il Codice della privacy per coordinarne il contenuto regolatorio al già vigente (dallo scorso 25 maggio 2018) Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 ("GDPR").
Ovviamente, non si tratta di alcun recepimento o modifica al GDPR, che essendo un regolamento comunitario è direttamente applicabile dal 25 Maggio scorso (nè una legge ordinaria potrebbe modificarlo, essendo i regolamenti comunitari sovraordinati nel sistema delle fonti alle leggi ordinarie).
Tuttavia, il GDPR lasciava non poco spazio ai Legislatori nazionali degli Stati Membri per dettagliare norme di principio o per specificare con regole ad hoc i presupposti di liceità del trattamento: si pensi ai trattamenti di dati di particolare natura (ex "dati sensibili"), di dati relativi a reati e condanne penali (ex "dati giudiziari"), di dati biometrici, genetici e relativi alla salute: il nuovo Codice della privacy reca importanti prescrizioni, rispetto alle quali assume centralità il ruolo del Garante privacy che dovrà emanare non pochi provvedimenti attuativi.
Anche nel settore del trattamento dei dati personali a fini di gestione del rapporto di lavoro, a fini di ricerca scientifica, storica e statistica e a fini giornalistici, in adempimento del Capo XI del GDPR (che ha demandato agli Stati Membri l'adozione di norme settoriali specifiche), il nuovo Codice della privacy detta norme nazionali ad hoc.
Importante l'impianto sanzionatorio penale (che il GDPR, essendo materia riservata alla competenza nazionale, non poteva regolare): le sanzioni penali precedentemente introdotte dal Codice Privacy sono riordinate e rimodulate con la previsione di nuovi reati e la conferma di quelli già previsti nel vecchio testo: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Importanti anche le norme transitorie che consentono di chiudere in sanatoria procedimenti sanzionatori pendenti alla data di entrata in vigore del nuovo Codice della privacy.
Il nuovo Codice della privacy contiene altresì una norma che dispone che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che - al contrario di quanto comincia a leggersi sui media - non implica affatto che l'Autorità non comminerà sanzioni per otto mesi (e d'altra parte è della settimana scorsa la pubblicazione sul sito del Garante privacy del piano ispettivo per il secondo semestre 2018, che interesserà gestori di grandi database, aziende di telemarketing e Istituti di credito). Significa che l'Autorità applicherà il GDPR e le relative sanzioni totalmente e fin da subito, ma applicherà con stringenti criteri i meccanismi di computo della sanzione oppure - in alternativa ed ove possibile (ad esempio per i titolari persone fisiche) - applicherà il potere di ammonimento (una sorta di richiamo) previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie (che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo).
Vengono poi fatti salvi tutti i provvedimenti emanati dall'Autorità Garante dal 1996, in base al criterio della loro compatibilità con il GDPR (e vi saranno non poche difficoltà applicative e contrasti, poichè ciò che un titolare del trattamento potrebbe ritenere - all'interno di quei provvedimenti - non compatibile con il GDPR, disapplicandoli, potrebbe essere invece ritenuto dal Garante - in sede ispettiva - compatibile, dandosi luogo a sanzioni).
Anche i codici di deontologia e buona condotta così come le Autorizzazioni Generali al trattamento dei dati sensibili, giudiziari, biometrici e genetici rimangono in vigore nell'attesa di futuri adeguamenti.
Previsto altresì che il Garante emani provvedimenti di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.
I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso del soggetto esercente la potestà genitoriale.
Ovviamente, non si tratta di alcun recepimento o modifica al GDPR, che essendo un regolamento comunitario è direttamente applicabile dal 25 Maggio scorso (nè una legge ordinaria potrebbe modificarlo, essendo i regolamenti comunitari sovraordinati nel sistema delle fonti alle leggi ordinarie).
Tuttavia, il GDPR lasciava non poco spazio ai Legislatori nazionali degli Stati Membri per dettagliare norme di principio o per specificare con regole ad hoc i presupposti di liceità del trattamento: si pensi ai trattamenti di dati di particolare natura (ex "dati sensibili"), di dati relativi a reati e condanne penali (ex "dati giudiziari"), di dati biometrici, genetici e relativi alla salute: il nuovo Codice della privacy reca importanti prescrizioni, rispetto alle quali assume centralità il ruolo del Garante privacy che dovrà emanare non pochi provvedimenti attuativi.
Anche nel settore del trattamento dei dati personali a fini di gestione del rapporto di lavoro, a fini di ricerca scientifica, storica e statistica e a fini giornalistici, in adempimento del Capo XI del GDPR (che ha demandato agli Stati Membri l'adozione di norme settoriali specifiche), il nuovo Codice della privacy detta norme nazionali ad hoc.
Importante l'impianto sanzionatorio penale (che il GDPR, essendo materia riservata alla competenza nazionale, non poteva regolare): le sanzioni penali precedentemente introdotte dal Codice Privacy sono riordinate e rimodulate con la previsione di nuovi reati e la conferma di quelli già previsti nel vecchio testo: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Importanti anche le norme transitorie che consentono di chiudere in sanatoria procedimenti sanzionatori pendenti alla data di entrata in vigore del nuovo Codice della privacy.
Il nuovo Codice della privacy contiene altresì una norma che dispone che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che - al contrario di quanto comincia a leggersi sui media - non implica affatto che l'Autorità non comminerà sanzioni per otto mesi (e d'altra parte è della settimana scorsa la pubblicazione sul sito del Garante privacy del piano ispettivo per il secondo semestre 2018, che interesserà gestori di grandi database, aziende di telemarketing e Istituti di credito). Significa che l'Autorità applicherà il GDPR e le relative sanzioni totalmente e fin da subito, ma applicherà con stringenti criteri i meccanismi di computo della sanzione oppure - in alternativa ed ove possibile (ad esempio per i titolari persone fisiche) - applicherà il potere di ammonimento (una sorta di richiamo) previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie (che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo).
Vengono poi fatti salvi tutti i provvedimenti emanati dall'Autorità Garante dal 1996, in base al criterio della loro compatibilità con il GDPR (e vi saranno non poche difficoltà applicative e contrasti, poichè ciò che un titolare del trattamento potrebbe ritenere - all'interno di quei provvedimenti - non compatibile con il GDPR, disapplicandoli, potrebbe essere invece ritenuto dal Garante - in sede ispettiva - compatibile, dandosi luogo a sanzioni).
Anche i codici di deontologia e buona condotta così come le Autorizzazioni Generali al trattamento dei dati sensibili, giudiziari, biometrici e genetici rimangono in vigore nell'attesa di futuri adeguamenti.
Previsto altresì che il Garante emani provvedimenti di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.
I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso del soggetto esercente la potestà genitoriale.
