Le novità del Decreto nazionale di armonizzazione del Codice Privacy (D. Lgs. n. 101/18)
Grande è l’interesse verso il recente decreto legislativo che ha “armonizzato” il Codice Privacy al GDPR. Per un’efficace sintesi delle principali innovazioni da questo introdotte, riportiamo qui di seguito il testo di un articolo dell’Avv. Rocco Panetta.
Come noto il D.lgs. n. 101/2018 di armonizzazione del Codice Privacy (d.lgs. n. 196/2003) al GDPR (Reg. Eu. n. 679/2016) è stato approvato l’8 agosto scorso, pubblicato in GU la settimana successiva ed entrerà in vigore il 19 settembre 2018.
Si chiude così il cerchio di una vicenda che ci ha tenuto a “bagnomaria” per tutto l’anno, in attesa della fatidica armonizzazione tra GDPR e Codice Privacy.
Il risultato è dunque il seguente: sebbene la Direttiva 95/46/CE, su cui si è basata la compliance privacy degli ultimi 20 anni e l’azione dell’Autorità Garante, è stata abrogata dal GDPR, al tempo stesso il Codice Privacy (basato a sua volta su tale direttiva, ma anche su molto altro) sopravvive, ancorché emendato ed in parte abrogato, a seguito appunto dell’approvazione del d.lgs n. 101/2018.
Per l’effetto ed in vista del 19 settembre data di entrata in vigore del d.lgs. n. 101/2018, iniziamo ad entrare nell’ottica di una disciplina privacy duale, forte, da un lato del GDPR e dall’altro del Codice Privacy emendato.
In attesa di una versione consolidata del Codice Privacy modificato dal d.lgs. n. 101/2018 – che verosimilmente il Garante Privacy dovrebbe rendere disponibile a breve – ecco una sintesi a bullet point delle principali novità introdotte dal decreto 101:
Anzitutto, all’art. 2 verrebbe introdotto un importante richiamo alla legge e ai regolamenti come base giuridica e presupposto di liceità del trattamento svolto “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” nonché per effettuare la comunicazione di dati da un soggetto all’altro nell’ambito di tale contesto.
Le regole deontologiche promosse dal Garante ai sensi del GDPR, dovranno essere sottoposte a consultazione pubblica per almeno 60 giorni.
I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso avente la potestà genitoriale. Ed i titolari del trattamento dovranno scrivere informative chiare, semplici, concise ed esaustive, facilmente accessibili e comprensibili dal minore, “al fine di rendere significativo il consenso prestato da quest’ultimo”.
Si chiarisce definitivamente la possibilità data al titolare e al responsabile del trattamento di prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il legislatore ha propeso per il consolidamento del ruolo di Accredia come ente unico nazionale di accreditamento, lasciando al Garante il potere di assumere tale ruolo in caso di suoi gravi inadempimenti. Non viene reso obbligatorio alcun percorso formativo per il ruolo di DPO né viene richiesta alcuna certificazione.
Nell’ambito del trattamento dei dati particolari, con riferimento ai dati genetici, biometrici e relativi alla salute, il Garante emanerà, su base biennale, dei provvedimenti contenenti misure di garanzia, volte ad individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati”.
Pertanto, le disposizioni del Codice relative ai dati biometrici, genetici e relativi alla salute continueranno a trovare applicazione, in quanto compatibili, fino all’emanazione dei relativi provvedimenti da parte del Garante.
Il trattamento di dati giudiziari può realizzarsi solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, da regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In conseguenza di ciò, scompare l’autorizzazione al trattamento attraverso un provvedimento ad hoc del Garante.
I diritti dell’interessato, di cui agli articoli da 15 a 22 potranno essere limitati o esclusi in determinati casi ad esempio quando entrano in contrasto con altre esigenze poste dalle leggi dello Stato, come in materia di antiriciclaggio, nel caso delle prerogative delle Commissioni Parlamentari d’inchiesta, dei trattamenti svolti in occasione dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria, o anche in caso di whistleblowing. Gli stessi, se relativi a persone deceduti, con talune limitazioni, potranno essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, come mandatario, o “per ragioni familiari meritevoli di protezione”.
In riferimento ai trattamenti per archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, pur restando in piedi l’assetto normativo di riferimento ex Codice, si rimanda alle disposizioni del Regolamento riguardo le garanzie e le deroghe in esso previste all’art. 89, ossia le misure di sicurezza (pseudonimizzazione, purché compatibile con le finalità); e le deroghe e limitazioni ad esercizio dei diritti da parte del diritto dell’UE o degli Stati membri.
In relazione alla ricerca medica, biomedica ed epidemiologica, la comunicazione preventiva al Garante nell’ambito delle ricerche effettuate in ambito medico viene sostituita dalla Valutazione d’Impatto Privacy (DPIA) con la conseguente valutazione da parte del Titolare e richiesta di parere preventivo da parte del Garante nei casi di rischio elevato, come previsto dagli artt. 35 e 36 del GDPR. L’esercizio del diritto di rettifica da parte dell’interessato sui dati riguardanti la salute, deve essere annotato senza modificare gli stessi, nei casi in cui tale operazione non comporti alcun effetto significativo sul risultato della ricerca.
Il decreto ha marginalmente riscritto gli articoli del Titolo X del Codice Privacy, attualizzando le disposizioni normative con riferimenti al telemarketing, già novellato ad opera della L. 5/2018 ma in attesa di un’ulteriore riforma con il nuovo Regolamento e-Privacy al momento al vaglio del legislatore europeo.
Dal momento della presentazione dinanzi all’Autorità Garante del reclamo, questo viene definito entro un tempo massimo di nove mesi. Tuttavia, entro tre mesi dalla sua presentazione, l’Autorità Garante informa l’interessato sullo stato del procedimento. Solo in presenza di motivate esigenze istruttorie, comunicate dal Garante all’interessato, il reclamo è deciso entro dodici mesi. In caso di attivazione di una cooperazione tra diverse autorità di controllo, il termine viene sospeso per la durata di tale procedimento.
Nel caso di recepimento di curriculum a seguito di candidature spontanee da parte di soggetti interessati, le informazioni potranno essere fornite al primo contatto utile con l’interessato in questione. In relazione a quanto disposto dal GDPR, il trattamento dei dati presenti nel curriculum e riguardanti la candidatura non richiedono il consenso da parte dell’interessato.
Per violazioni amministrative di cui al Titolo III del Codice che non risultino ancora definite con l’adozione dell’ordinanza ingiunzione potranno usufruire del pagamento in misura ridotta di una somma pari a due quinti del minimo edittale, entro 90 giorni dall’entrata in vigore del decreto (19 settembre 2018). Inoltre, il termine di prescrizione del diritto a riscuotere le somme è interrotto a partire dalla stessa data.
Relativamente a reclami, segnalazioni, richieste di verifica preliminare al Garante pregressi, sarà necessario una motivata richiesta di trattazione, pena l’improcedibilità degli stessi, salvo eccezioni. Sarà necessario controllare il sito del Garante, il quale è tenuto a pubblicare informazioni rilevanti entro 15 giorni dalla data di entrata in vigore. Infine, i ricorsi pervenuti al Garante e non ancora definiti sono trattati come reclami (la nuova forma prevista dal GDPR).
La norma relativa ai Codici di deontologia e buona condotta risulta di incerta interpretazione. Ad ogni buon conto, nel tentativo di attribuire un significato univoco, gli allegati A.5 (Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti) e A.7 (Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale) continueranno a produrre effetti fino a quando gli organismi di categoria sottoporranno i nuovi codici di condotta all’approvazione del Garante, e questo li approvi entro ulteriori 6 mesi; in caso di mancata approvazione entro i termini, i “vecchi” codici cesseranno di avere applicazione. La conformità al GDPR degli allegati A.1, A.2, A.3, A.4, A.6 sarà verificata, invece, entro 90 giorni dal Garante.
Le autorizzazioni generali già adottate dal Garante relative alla necessità del trattamento per (i) un obbligo legale del titolare (ii) lo svolgimento di un compito di interesse pubblico (iii) alcuni casi in cui il trattamento è necessario per categorie particolari di dati personali (iv) il Capo IX del GDPR, ovvero quello relativo a specifiche situazioni di trattamento, dipenderanno da un provvedimento emanato dal Garante e sottoposto a consultazione pubblica e produrranno effetti fino alla pubblicazione di quest’ultimo. Alla stessa data, anche tutte le altre autorizzazioni del Garante adottate prima dell’entrata in vigore del Decreto 101/2018 cesseranno di produrre effetti.
I provvedimenti del Garante continueranno ad applicarsi in quanto compatibili.
Le disposizioni di legge o regolamentari per motivi di interesse pubblico applicabile alla pubblica amministrazione sono ora applicabili anche ai privati che trattano dati per il medesimo motivo.
Nei primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.
Le disposizioni del GDPR avranno effetto retroattivo, ma le sanzioni applicabili alle fattispecie di illeciti penali abrogate non potranno andare oltre l’importo precedentemente previsto dal Codice.
Per quanto invece concerne le sanzioni, sia amministrative che penali, mi permetto di suggerire la lettura di un mio recentissimo pezzo su Agenda Digitale al link:
Va da sé che molte di queste novità potrebbero avere degli impatti significativi sulle politiche di compliance privacy di imprese e p.a.
L’Avv. Rocco Panetta sarà uno dei relatori dell’iniziativa, specificamente destinata all’approfondimento dei contenuti del Decreto nazionale di armonizzazione del Codice Privacy, organizzata da Paradigma a Milano per il 27 e il 28 settembre prossimi.
Potrebbe interessare anche
Data breach: il Garante Privacy sanziona un primario istituto bancario e un suo fornitore IT
12 Marzo 2024
Videosorveglianza “intelligente”, arriva la sanzione del Garante
30 Gennaio 2024