14. Il decreto di armonizzazione del Codice della Privacy al GDPR: cosa è cambiato in Italia?

27/02/2019

14. Il decreto di armonizzazione del Codice della Privacy al GDPR: cosa è cambiato in Italia?

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (il cosiddetto, “GDPR”) è applicabile in Italia e in Europa dal 25 maggio scorso. Il Regolamento è entrato in vigore nel 2016, ma erano stati lasciati 2 anni di tempo agli Stati europei per adeguare il loro ordinamento giuridico alle nuove norme del GDPR, nonché per specificare, tramite una o più leggi e provvedimenti nazionali, talune aree lasciate alla competenza degli Stati membri (ad esempio, in materia di sanzioni penali).

Il GDPR, di per sé, è un atto giuridico europeo direttamente applicabile, in tutti i suoi elementi, negli Stati europei: non necessitava quindi di un atto di recepimento italiano. Per questo motivo, a partire dal 25 maggio 2018, anche se il legislatore italiano non si era mosso in tale ambito, il Regolamento è diventato definitivamente applicabile nel nostro Paese. Tuttavia, un intervento legislativo di armonizzazione era necessario, dato che in talune aree, le sovrapposizioni tra le norme del GDPR e quelle del (vecchio) Codice della Privacy (D. Lgs. 196/2003) sollevavano alcuni problemi interpretativi, che potevano avere importanti risvolti dal punto di vista pratico (ad esempio, vi erano dubbi sull’obbligo di notificazione al Garante dei trattamenti come quello di profilazione).

Dopo poco più di 3 mesi dal 25 maggio 2018, il 4 settembre scorso è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 101/2018, per armonizzare le norme del Codice della Privacy al GDPR. Il decreto in questione è entrato in vigore il 19 settembre scorso.

Quali sono le novità principali del decreto di armonizzazione e quali le conferme?

In primo luogo, non vi è stata un’abrogazione totale del Codice della Privacy, sono state infatti solamente abrogate le disposizioni contrarie al GDPR o che regolavano materie già previste dal GDPR, nonché introdotte nuove norme.

Consenso dei minori, ricezione di curricula, categorie particolari di dati
Dove invece il GDPR lasciava dello spazio agli Stati, il decreto ha stabilito disposizioni speciali e integrative di quanto previsto dal GDPR.

Minori. In primo luogo, viene specificata l’età a partire dalla quale i minori potranno esprimere in autonomia il loro consenso al trattamento dei loro dati personali. A livello europeo, il GDPR aveva, infatti, stabilito che i dati personali dei minori di 16 anni potessero essere trattati solamente con il consenso o l’autorizzazione al consenso da parte dei genitori. Gli Stati erano comunque stati lasciati liberi di modificare tale età. Il decreto di armonizzazione ha stabilito che il minore che ha compiuto 14 anni può esprimere il suo consenso al trattamento di dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per il trattamento dei dati di soggetti minori di 14 anni sarà, dunque, necessario ottenere il consenso da chi esercita la responsabilità genitoriale.

Curricula. È stato poi specificato che, in caso di ricezione di curricula spontanei, l’informativa privacy (articolo 13 del GDPR) deve essere fornita al momento del “primo contatto utile” successivo alla ricezione del curriculum.

Categorie particolari di dati personali. Il decreto, ancora, stabilisce una serie di prescrizioni per il trattamento di categorie particolari di dati personali (si tratta di quelli che comunemente vengono chiamati “dati sensibili”, vale a dire dati che rivelano l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona). In particolare, per il trattamento dei dati genetici, biometrici e relativi alla salute è stato disposto che il loro trattamento dovrà avvenire in conformità alle misure di garanzie disposte dal Garante, il quale, con cadenza biennale, dovrà emanare un provvedimento al riguardo.

Diritti degli interessati, Autorità di controllo, applicazione di sanzioni
Il decreto di armonizzazione stabilisce poi delle limitazioni ai diritti dell’interessato, vale a dire della persona fisica cui i dati personali oggetto di trattamento si riferiscono (diritti ora esclusivamente previsti dagli articoli da 15 a 22 del GDPR), per ragioni di giustizia o nel caso in cui dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad altri interessi tutelati da altre disposizioni dell’ordinamento (ad esempio, agli interessi tutelati in base alle disposizioni in materia di riciclaggio) .

Sono state previste poi delle disposizioni relative al titolare del trattamento e al responsabile del trattamento. Quest’ultimi possono prevedere, sotto la loro responsabilità e nel contesto del loro assetto organizzativo, che specifici compiti in materia di trattamento di dati personali vengano attribuiti a persone fisiche, che dovranno essere espressamente designate, nonché operare sotto la loro autorità.

Viene individuata l’Autorità italiana di controllo, che rimane il Garante della protezione dei dati personali. Nuova è infine la parte relativa alle forme di tutela degli interessati, i quali potranno rivolgersi al Garante mediante reclamo (che dovrà essere deciso dal Garante entro nove mesi) o all’autorità giudiziaria ordinaria mediante ricorso. Le sanzioni amministrative previste dal GDPR e dal Codice della Privacy novellato potranno essere applicate dal Garante a seguito di reclamo dell’interessato o nell’ambito dell’attività istruttoria d’iniziativa del Garante, nell’ambito dei suoi poteri di indagine. Inoltre, è stato disposto che, per i primi 8 mesi dalla data di entrata in vigore del decreto di armonizzazione del Codice della Privacy al GDPR, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie.

Infine, il legislatore italiano ha introdotto delle sanzioni penali, che potranno essere irrogate a seguito della violazione di talune prescrizioni imposte in capo a chi tratta dati personali. L’introduzione di sanzioni penali, da applicarsi in aggiunta a quelle amministrative – i cui importi massimi sono già stabiliti dal GDPR – veniva infatti lasciata dal GDPR alla volontà degli Stati membri. Saranno sanzionati penalmente, ove ricorrano gli elementi descritti dalle norme incriminatrici: (i) il trattamento illecito di dati; (ii) la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; (iii) l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; (iv) la falsità nelle dichiarazioni all’Autorità Garante; (v) l’inosservanza di provvedimenti del Garante; (vi) la violazione delle disposizioni in materia di controlli a distanza dei lavoratori e di indagini sulle opinioni dei lavoratori (disposizioni contenute nel cosiddetto Statuto dei Lavoratori e che il decreto di armonizzazione non modifica).

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.