TUTELA DEI DATI PERSONALI
Pubblicato in Gazzetta Ufficiale il decreto legislativo n. 101/2018 di coordinamento del Codice della privacy al GDPR.
E’ stato pubblicato nella G.U. n. 205 del 4 Settembre 2018 il decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Il decreto legislativo 101/2018 (che entra in vigore il 19 Settembre prossimo) novella e modifica il Codice della privacy per coordinarne il contenuto regolatorio al già vigente (dallo scorso 25 maggio 2018) Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 ("GDPR"). Inoltre, al di là della novella al Codice della privacy (attraverso abrogazioni, integrazioni e modifiche dell’articolato esistente) il decreto 101/2018 contiene norme direttamente applicabili (importanti soprattutto le norme transitorie).
Ovviamente, il nuovo Codice della privacy si affianca al GDPR (occorrerà dunque in sede applicativa tenere conto di due importanti testi legislativi e dei relativi atti connessi, essendo ovviamente quella del GDPR la disciplina privacy primaria e principale) e non va considerato un atto legislativo di recepimento nazionale del GDPR che - altrettanto ovviamente - essendo un regolamento comunitario è direttamente applicabile dal 25 Maggio scorso anche in Italia.
Né il nuovo Codice della privacy apporta alcuna modifica al GDPR (una legge ordinaria non potrebbe modificare un regolamento comunitario, ad essa sovraordinato nel sistema delle fonti alle leggi ordinarie). Infine, andranno tenute presenti anche le residuali norme del decreto legislativo 101/2018 direttamente applicabili e non modificative o integrative del Codice della privacy in quanto tale (si pensi – solo per fare un esempio – all’articolo 22, Comma 5 del decreto 101/2018 recante norme sul cambiamento del nome e del cognome dei minorenni).
Il nuovo Codice della privacy rappresenta la normativa nazionale di coordinamento e di integrazione di quelle norme generali la cui regolamentazione di dettaglio appunto il GDPR ha lasciato agli Stati Membri ed ai Legislatori nazionali, al fine di specificare con regole ad hoc i presupposti di liceità del trattamento invece contenuti come principi generali nel GDPR: si pensi ai trattamenti di dati di particolare natura (ex "dati sensibili"), di dati relativi a reati e condanne penali (ex "dati giudiziari"), di dati biometrici, genetici e relativi alla salute: il nuovo Codice della privacy reca importanti prescrizioni, rispetto alle quali assume centralità il ruolo del Garante privacy che dovrà emanare non pochi provvedimenti attuativi. Inoltre, il GDPR ha lasciato altresì liberi gli Stati membri di dettare norme nazionali in ambiti ai quali il GDPR non si applica: ad esempio, il Codice della privacy continua a dettare una disciplina sul trattamento dei dati delle persone decedute, mentre è noto che il GDPR non si applica a tali dati.
Anche nel settore del trattamento dei dati personali a fini di gestione del rapporto di lavoro, a fini di ricerca scientifica, storica e statistica, a fini di archiviazione e conservazione nel pubblico interesse e a fini giornalistici, in adempimento del Capo IX del GDPR (che ha demandato agli Stati Membri l'adozione di norme settoriali specifiche), il nuovo Codice della privacy detta norme nazionali ad hoc.
Importante l'impianto sanzionatorio penale (che il GDPR, essendo materia riservata alla competenza nazionale, non poteva disciplinare): le sanzioni penali già precedentemente note e previste dal Codice Privacy sono riordinate e rimodulate, con la previsione anche di nuovi reati e la conferma di quelli già previsti nel vecchio testo: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su “larga scala” (per la cui nozione può farsi riferimento alle Linee Guida del Comitato Europeo WP 243); l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Importanti anche le norme transitorie contenute all’articolo 18 del decreto 101/2018 (dunque non nel Codice della privacy novellato) che consentono di chiudere in via agevolata i procedimenti sanzionatori pendenti alla data di entrata in vigore del decreto, così come le altre norme transitorie di cui all’art. 22 e 24 del decreto.
L’articolo 22, comma 13 del decreto 101/2018 contiene altresì una norma che dispone che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che - al contrario di quanto erroneamente pubblicizzato - non implica affatto che l'Autorità non comminerà sanzioni per otto mesi (e d'altra parte è recente la pubblicazione sul sito del Garante privacy del piano ispettivo per il secondo semestre 2018, che interesserà gestori di grandi database, aziende di telemarketing e Istituti di credito). Significa solo che l'Autorità applicherà il GDPR e le relative sanzioni totalmente e fin da subito, ma applicherà con stringenti criteri i meccanismi di computo della sanzione oppure - in alternativa ed ove possibile (ad esempio per i titolari persone fisiche) - applicherà il potere di ammonimento (una sorta di richiamo) previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie (che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo).
Vengono poi fatti salvi tutti i provvedimenti emanati dall'Autorità Garante dal 1997, in base al criterio della loro compatibilità con il GDPR (e vi saranno non poche difficoltà applicative e contrasti, poichè ciò che un titolare del trattamento potrebbe ritenere - all'interno di quei provvedimenti - non compatibile con il GDPR, disapplicandoli, potrebbe essere invece ritenuto dal Garante - in sede ispettiva - compatibile, dandosi luogo a sanzioni).
Si è scelto poi di garantire la continuità facendo salvi per un periodo transitorio anche le Autorizzazioni Generali (già il Garante con il Provvedimento in tema di Autorizzazioni generali del Garante per la protezione dei dati personali - 19 luglio 2018 ne aveva transitoriamente prorogato la validità), che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso del soggetto esercente la potestà genitoriale.
Al contrario del GDPR (le cui norme non si applicano ai dati dei defunti, per espressa esclusione) il Legislatore nazionale - come più sopra segnalato - ha scelto di confermare le previgenti norme sui diritti riguardanti le persone decedute (cfr. art. 2-terdecies del nuovo Codice della privacy).
Il Legislatore italiano, esclusivamente in materia di telemarketing, sceglie la strada della applicabilità dell’opt-in (obbligo di consenso preventivo) anche per i trattamenti a tali esclusivi scopi dei dati delle persone giuridiche e delle aziende in quanto tali (in quanto “contraenti” e cioè, ai sensi del nuovo articolo 121 del Codice della privacy, “parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”). Come è noto il GDPR si applica ai soli dati delle persone fisiche, anche se ad esso si affiancherà il differente ePrivacy Regulation che nel corso del 2019 entrerà in vigore sostituendo la Direttiva 2002/58 sulla privacy nel settore delle comunicazioni elettroniche, prevedendo la specifica tutela dei dati delle persone giuridiche, inclusi i relativi trattamenti marketing).
Il “nuovo” Codice della privacy non conclude comunque il complesso e complicato insieme di regole e norme a tutela dei dati personali: spetterà infatti all’Autorità Garante per la protezione dei dati personali emanare nel prossimo futuro ancora una serie di codici di deontologia e di buona condotta sul trattamento di dati in particolari settori, oltre ad una serie di altri provvedimenti di ulteriore regolamentazione specifica.
Il testo del decreto legislativo 101/2018 come pubblicato nella GU è consultabile qui.
Il decreto legislativo 101/2018 (che entra in vigore il 19 Settembre prossimo) novella e modifica il Codice della privacy per coordinarne il contenuto regolatorio al già vigente (dallo scorso 25 maggio 2018) Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 ("GDPR"). Inoltre, al di là della novella al Codice della privacy (attraverso abrogazioni, integrazioni e modifiche dell’articolato esistente) il decreto 101/2018 contiene norme direttamente applicabili (importanti soprattutto le norme transitorie).
Ovviamente, il nuovo Codice della privacy si affianca al GDPR (occorrerà dunque in sede applicativa tenere conto di due importanti testi legislativi e dei relativi atti connessi, essendo ovviamente quella del GDPR la disciplina privacy primaria e principale) e non va considerato un atto legislativo di recepimento nazionale del GDPR che - altrettanto ovviamente - essendo un regolamento comunitario è direttamente applicabile dal 25 Maggio scorso anche in Italia.
Né il nuovo Codice della privacy apporta alcuna modifica al GDPR (una legge ordinaria non potrebbe modificare un regolamento comunitario, ad essa sovraordinato nel sistema delle fonti alle leggi ordinarie). Infine, andranno tenute presenti anche le residuali norme del decreto legislativo 101/2018 direttamente applicabili e non modificative o integrative del Codice della privacy in quanto tale (si pensi – solo per fare un esempio – all’articolo 22, Comma 5 del decreto 101/2018 recante norme sul cambiamento del nome e del cognome dei minorenni).
Il nuovo Codice della privacy rappresenta la normativa nazionale di coordinamento e di integrazione di quelle norme generali la cui regolamentazione di dettaglio appunto il GDPR ha lasciato agli Stati Membri ed ai Legislatori nazionali, al fine di specificare con regole ad hoc i presupposti di liceità del trattamento invece contenuti come principi generali nel GDPR: si pensi ai trattamenti di dati di particolare natura (ex "dati sensibili"), di dati relativi a reati e condanne penali (ex "dati giudiziari"), di dati biometrici, genetici e relativi alla salute: il nuovo Codice della privacy reca importanti prescrizioni, rispetto alle quali assume centralità il ruolo del Garante privacy che dovrà emanare non pochi provvedimenti attuativi. Inoltre, il GDPR ha lasciato altresì liberi gli Stati membri di dettare norme nazionali in ambiti ai quali il GDPR non si applica: ad esempio, il Codice della privacy continua a dettare una disciplina sul trattamento dei dati delle persone decedute, mentre è noto che il GDPR non si applica a tali dati.
Anche nel settore del trattamento dei dati personali a fini di gestione del rapporto di lavoro, a fini di ricerca scientifica, storica e statistica, a fini di archiviazione e conservazione nel pubblico interesse e a fini giornalistici, in adempimento del Capo IX del GDPR (che ha demandato agli Stati Membri l'adozione di norme settoriali specifiche), il nuovo Codice della privacy detta norme nazionali ad hoc.
Importante l'impianto sanzionatorio penale (che il GDPR, essendo materia riservata alla competenza nazionale, non poteva disciplinare): le sanzioni penali già precedentemente note e previste dal Codice Privacy sono riordinate e rimodulate, con la previsione anche di nuovi reati e la conferma di quelli già previsti nel vecchio testo: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su “larga scala” (per la cui nozione può farsi riferimento alle Linee Guida del Comitato Europeo WP 243); l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Importanti anche le norme transitorie contenute all’articolo 18 del decreto 101/2018 (dunque non nel Codice della privacy novellato) che consentono di chiudere in via agevolata i procedimenti sanzionatori pendenti alla data di entrata in vigore del decreto, così come le altre norme transitorie di cui all’art. 22 e 24 del decreto.
L’articolo 22, comma 13 del decreto 101/2018 contiene altresì una norma che dispone che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che - al contrario di quanto erroneamente pubblicizzato - non implica affatto che l'Autorità non comminerà sanzioni per otto mesi (e d'altra parte è recente la pubblicazione sul sito del Garante privacy del piano ispettivo per il secondo semestre 2018, che interesserà gestori di grandi database, aziende di telemarketing e Istituti di credito). Significa solo che l'Autorità applicherà il GDPR e le relative sanzioni totalmente e fin da subito, ma applicherà con stringenti criteri i meccanismi di computo della sanzione oppure - in alternativa ed ove possibile (ad esempio per i titolari persone fisiche) - applicherà il potere di ammonimento (una sorta di richiamo) previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie (che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo).
Vengono poi fatti salvi tutti i provvedimenti emanati dall'Autorità Garante dal 1997, in base al criterio della loro compatibilità con il GDPR (e vi saranno non poche difficoltà applicative e contrasti, poichè ciò che un titolare del trattamento potrebbe ritenere - all'interno di quei provvedimenti - non compatibile con il GDPR, disapplicandoli, potrebbe essere invece ritenuto dal Garante - in sede ispettiva - compatibile, dandosi luogo a sanzioni).
Si è scelto poi di garantire la continuità facendo salvi per un periodo transitorio anche le Autorizzazioni Generali (già il Garante con il Provvedimento in tema di Autorizzazioni generali del Garante per la protezione dei dati personali - 19 luglio 2018 ne aveva transitoriamente prorogato la validità), che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso del soggetto esercente la potestà genitoriale.
Al contrario del GDPR (le cui norme non si applicano ai dati dei defunti, per espressa esclusione) il Legislatore nazionale - come più sopra segnalato - ha scelto di confermare le previgenti norme sui diritti riguardanti le persone decedute (cfr. art. 2-terdecies del nuovo Codice della privacy).
Il Legislatore italiano, esclusivamente in materia di telemarketing, sceglie la strada della applicabilità dell’opt-in (obbligo di consenso preventivo) anche per i trattamenti a tali esclusivi scopi dei dati delle persone giuridiche e delle aziende in quanto tali (in quanto “contraenti” e cioè, ai sensi del nuovo articolo 121 del Codice della privacy, “parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”). Come è noto il GDPR si applica ai soli dati delle persone fisiche, anche se ad esso si affiancherà il differente ePrivacy Regulation che nel corso del 2019 entrerà in vigore sostituendo la Direttiva 2002/58 sulla privacy nel settore delle comunicazioni elettroniche, prevedendo la specifica tutela dei dati delle persone giuridiche, inclusi i relativi trattamenti marketing).
Il “nuovo” Codice della privacy non conclude comunque il complesso e complicato insieme di regole e norme a tutela dei dati personali: spetterà infatti all’Autorità Garante per la protezione dei dati personali emanare nel prossimo futuro ancora una serie di codici di deontologia e di buona condotta sul trattamento di dati in particolari settori, oltre ad una serie di altri provvedimenti di ulteriore regolamentazione specifica.
Il testo del decreto legislativo 101/2018 come pubblicato nella GU è consultabile qui.
