Privacy: approvato il decreto italiano di adeguamento al Reg. UE 2016/ 679

Dopo mesi in cui si sono susseguite varie ipotesi e diversi testi di legge, il Consiglio dei Ministri ha infine approvato nella serata dell’8 agosto 2018, il Decreto legislativo di adeguamento della previgente normativa al Regolamento UE 2016/679 in materia di trattamento dei dati personali (c.d. GDPR).

Come a tutti noto il Reg. UE 2016/679 è entrato in vigore già nel 2016 ed è pienamente efficace in Italia - ed in tutta l’area UE - dallo scorso 26 maggio 2018.

Per tutti gli Stati membri si è posto dunque il problema di stabilire come adeguare i propri ordinamenti interni (specifici provvedimenti, linee guida, codici deontologici ecc. emanati nel coro degli anni) al nuovo assetto disegnato dal GDPR, nonché introdurre specifiche discipline negli “spazi legislativi” lasciati dal Regolamento.

La scelta del legislatore pare - il testo definitivo del decreto non è al momento ancora disponibile on line - sia stata proprio quella di novellare il Codice della privacy previgente, che dunque non viene abrogato.

Quindi, dopo la pubblicazione in GU del nuovo decreto, il quadro normativo sarà contenuto nel reg. Ue 2016/679 e nel “nuovo” Codice privacy.

Ecco le principali novità:

• il Garante emanerà, su base biennale, provvedimenti contenenti specifiche misure di garanzia per trattamento dei dati particolari, con riferimento ai dati genetici, biometrici e relativi alla salute,

• le autorizzazioni generali al trattamento di dati sensibili di cui al Codice Privacy verranno attualizzate dal Garante con provvedimento da sottoporre a consultazione pubblica;

• I Codici di deontologia e buona condotta di cui agli Allegati A5 (credito al consumo) e A7 (informazione commerciale) del Codice Privacy continueranno a produrre i loro effetti nelle more della ridefinizione della procedura di approvazione dei nuovi codici (entro 1 anno); per quanto riguarda gli altri Codici - Allegati A1 (attività giornalistica), A2 (scopi storici), A3 (scopi statistici Sistan), A4 (scopi statistici e scientifici), A6 (investigazioni difensive) - il Garante effettuerà un esercizio di compatibilità con il GDPR;

• i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del decreto. 

• l’interessato che vuole tutelare i suoi diritti potrà proporre, oltre al reclamo al Garante, anche ricorso all’autorità giudiziaria ordinaria;

• estesi i poteri del Garante, ivi incluso quello di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento;

• le sanzioni penali precedentemente introdotte dal Codice Privacy verrebbero ad essere riordinate e rimodulate. I nuovi reati sarebbero: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori;

• per  i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che vuole dire: applicazione totale da subito, ma prudenza e giudizio rafforzato nell’applicazione delle sanzioni amministrative.