Decreto privacy GDPR: le novità introdotte dal testo di adeguamento
Il ruolo e i compiti del Garante Privacy. 1
I punti salienti del decreto legislativo n. 101 del 10 agosto 2018. 1
Le novità del decreto legislativo. 2
Il decreto legislativo n. 101 del 10 agosto 2018, che entrerà in vigore a partire dal 19 settembre 2018, ha come obiettivo quello di adattare l’Italia alle nuove stringenti regole europee sulla privacy (GDPR) divenute pienamente effettive il 25 maggio scorso.
Grazie a tale decreto si è riusciti a rispondere alle esigenze di semplificazione delle micro, piccole e medie imprese italiane.
Sarà infatti compito del Garante Privacy promuovere modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Questo rappresenta, senza ombra di dubbio, una notizia positiva dato che molte di loro (soprattutto le PMI) sono in ritardo nel processo di adeguamento e che le sanzioni sono molto onerose.
Inoltre, dato che attualmente siamo ancora in una fase iniziale di attuazione, il decreto legislativo stabilisce che il Garante dovrà evitare le sanzioni considerate eccessivamente punitive verso le aziende ritardatarie.
Il ruolo e i compiti del Garante Privacy
Come è facile dedurre da quanto espresso poco sopra, al Garante vengono assegnati importanti compiti tra i quali:
- favorire modalità semplificate di adempimento per le micro, piccole e medie imprese italiane;
- promuovere linee guida per fissare modalità di adeguamento semplificate ad hoc per le PMI;
- promuovere regole deontologiche per i trattamenti previsti dalle disposizioni del Regolamento(UE) 2016/679.
A tal proposito, ecco un estratto dal comunicato del Consiglio dei Ministri dell’8 agosto 2018:
“Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.”
I punti salienti del decreto legislativo n. 101 del 10 agosto 2018
Inoltre, nel decreto legislativo si legge che:
- le norme hanno l’obiettivo di proteggere i diritti privacy dei cittadini in modo adeguato al contesto italiano, con particolare riferimento al diritto del lavoro, ai dati sanitari;
- viene tutelata la possibilità di utilizzare i dati per la ricerca scientifica;
- permangono le sanzioni elevate, infatti le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo;
- viene riscritto l’insieme dei provvedimenti di natura penale previsti in caso di violazione dei diritti sulla privacy (che invece non sono presenti nell’ordinamento europeo).
In caso di sanzioni amministrative sarà il Garante ad adottare sia i provvedimenti correttivi che le sanzioni previste dall’articolo 83 del GDPR. Inoltre l’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di apposito reclamo o ad autonoma iniziativa del Garante nonché a seguito di accessi o ispezioni della Guardia di Finanza. In caso il Garante decida di adottare provvedimenti sanzionatori, l’impresa potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro trenta giorni.
Per quanto riguarda invece i provvedimenti di natura penale, l’attuazione del GDPR ha riscritto l’insieme delle pene previste in caso di violazione dei diritti sulla privacy. Nello specifico si esplicita che:
- in caso di trattamento illecito dei dati (salvo che il fatto costituisca più grave reato) chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, è punito con la reclusione da 6 mesi a 1 anno e 6 mesi;
- in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti verrà assegnata una pena che va da 1 a 3 anni di reclusione;
- è previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti del Garante.
Le novità del decreto legislativo
Nel testo del decreto legislativo n. 101 del 10 agosto 2018, pubblicato in Gazzetta Ufficiale del 4 settembre e in vigore a partire dal 19 settembre 2018, sono contenute alcune rilevanti novità.
Di seguito riportiamo le principali:
- regole in merito agli obblighi del titolare del trattamento nei casi di ricezione di curriculum finalizzati all’instaurazione di un rapporto di lavoro: le informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) dovranno essere fornite al momento del primo contatto utile al successivo invio del curriculum;
- dati relativi alle persone decedute: i diritti di accesso e di portabilità dei dati (articoli 15 e 22 del GDPR) potranno essere ereditati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione. L’interessato potrà espressamente vietare questa possibilità, presentando dichiarazione scritta al titolare del trattamento, senza incidere sull’esercizio dei diritti patrimoniali di terzi in caso di decesso o di difesa dei propri interessi in giudizio;
- trattamento dei dati personali per i minori di quattordici anni: in questo caso il consenso al trattamento dei dati personali dovrà essere esercitato da chi ne esercita la responsabilità genitoriale.
L’approvazione del decreto di adeguamento riconferma l’attenzione dell’Italia alla tutela dei dati personali e alla piena attuazione delle regole UE.