Le principali novità introdotte dal Decreto n. 101 del 10 Agosto del 2018 rispetto agli obblighi previsti dal GDPR 2016/679 e Dlgs 196/03
Il quadro normativo sulla privacy in Italia si basa sul GDPR europeo e sul Codice Privacy aggiornato dal Decreto n. 101 del 10 Agosto del 2018. Le principali novità riguardano il consenso dei minori, il trattamento di dati sensibili e l’interesse pubblico. Le sanzioni sono state inasprite, con multe elevate e nuove sanzioni penali. I poteri del Garante Privacy sono stati ampliati. L’applicazione del nuovo regolamento presenta sfide per aziende e professionisti, abituati a indicazioni più dettagliate. Il Garante avrà un ruolo chiave nell’armonizzare le nuove disposizioni. Una fase transitoria con sanzioni attenuate faciliterà l’adeguamento alla nuova normativa sulla privacy.
Il quadro normativo sulla privacy in Italia: GDPR e Codice Privacy
In Italia il quadro normativo in materia di tutela dei dati personali è disciplinato dal Regolamento Europeo sulla Privacy e dal Codice Privacy novellato dal Decreto Legislativo 101/2018.
Un impianto normativo, che si può ben affermare, essere regolamentato su 2 livelli:
- il primo, rappresentato da una norma di fonte superiore, quella “Europea” (il GDPR entrato in vigore il 25 maggio 2018), cui tutti gli Stati Membri dell’Unione devono indistintamente uniformarsi;
- il secondo, rappresentato dal Codice per la protezione dei dati personali (codice della privacy Dlgs 196/2003) e dal Decreto legislativo n.101/2018 emanato il 10 agosto 2018 ed entrato in vigore il 19 settembre 2018.
L’iter di emanazione del Decreto 101/2018: adeguamento al GDPR
L’iter di emanazione del Decreto 101/2018 attuativo del Nuovo Regolamento europeo è stato molto sofferto; prima di giungere all’emanazione sono stati vari i cambi di rotta sul Tavolo dei lavori:
- nella prima fase la Commissione sembrava infatti più propensa ad abrogare “in toto” il vecchio codice privacy con l’obiettivo di alleggerire e semplificare la disciplina;
- ad una seconda valutazione, è cambiato totalmente l’orientamento optando per una decretazione “modificatrice ed integrativa”. A tale impostazione si è addivenuti nella considerazione e nella consapevolezza di dover armonizzare ed inserire nuove indicazioni e disposizioni in un contesto caratterizzato ancora da “scarsa cultura della privacy” ed in un ambito normativo già ben stratificato e con non poche complessità pregresse.
Decreto n. 101 del 10 Agosto del 2018: obiettivi di abrogazione e innovazione
La necessità di emanare il Decreto 101/2018 trova dunque il suo fondamento nell’esigenza di contemperare un duplice scopo:
- il primo “abrogativo”, si procede all’abolizione di alcune disposizioni del vecchio codice: principi, diritti degli interessati, obblighi generali di titolari e responsabili, misure di sicurezza, adempimenti e notifiche nei confronti dell’Autorità;
- il secondo “innovativo”, con l’inserimento e la modifica di nuove disposizioni perseguendo l’ambizione di completare il quadro della “nuova privacy” adeguando le vecchie disposizioni del Codice privacy rimanenti in vigore in una nuova rilettura tutta “europea” disciplinata dal GDPR.
Le sfide nell’applicazione del nuovo Regolamento sulla privacy
Le maggiori novità introdotte con il D. Lgs 101/2018 sono notevoli. La loro applicazione risulta non priva di problematiche e complessità riconducibili alla difficoltà di interpretare in chiave più ampia la nuova spinta “innovativa” europea, tenuto conto di una cultura nazionale sulla Privacy, che a differenza dell’impostazione culturale anglosassone (ispiratrice del GDPR), la quale detta i principi cardine ispiratori, lasciando ampio spazio nella scelta delle misure e modalità di attuazione degli stessi, è abituata al contrario a ricevere dal legislatore italiano indicazioni, modalità di attuazione e linee guida il più possibile precise, puntuali, dettagliate “step by step”, che a livello attuativo hanno lasciato sicuramente in passato, un ridotto margine di “interpretazione”.
È evidente che di conseguenza nel nuovo scenario “applicativo” così impostato sull’”accountability” professionisti e capi di Imprese facciano fatica ad abbandonare “certezze” del passato per adattarsi a questo nuova mentalità “libertina” nella quale il rischio di “cadere in scelte errate” si fa più elevato, esponendo le aziende a conseguenze di non poco rilievo sotto il profilo sanzionatorio.
Le principali modifiche introdotte dal Decreto n. 101 del 10 Agosto del 2018
Nell’adeguamento al Nuovo Regolamento europeo, il Decreto attuativo 101/2018, se da un lato non introduce novità rilevanti in merito a temi quali l’informativa ed il consenso regolamentati dal GDPR (ad eccezione di alcune disposizioni sui minori, sugli studenti, sul trattamento di dati genetici, biometrici e sanitari), dall’altro, detta ed introduce invece rilevanti modifiche, riguardanti le sanzioni, i diritti dell’interessato, l’utilizzabilità dei dati acquisiti in violazione delle disposizioni, l’attribuzione al Garante di poteri più forti e compiti ulteriori.
Le modalità di attuazione del GDPR per le micro, piccole e medie imprese, i servizi dell’informazione e i minori, i codici deontologici, le regole di condotta, il trattamento di “categorie particolari di dati” per finalità di ricerca scientifica, fini statistici, ricerca storica e di rilevante interesse pubblico sono altre aree di modifica introdotte dal Decreto attuativo 101/2018.
Di seguito un riepilogo delle principali modifiche attuative apportate:
Principi, consenso e informativa nella nuova normativa privacy
- Consenso dei minori in relazione ai servizi della società dell’informazione (Art.2-quinquies)
L’età minima richiesta al minore per esprimere il consenso è stata abbassata a 14 anni. Sotto tale soglia il consenso per essere ritenuto lecito dovrà essere prestato da chi esercita la potestà genitoriale.
- Trattamento dei dati sanitari, genetici e biometrici (Art.2-septies, Art.100, Art. 104, Art. 110)
Non occorre più il consenso per il trattamento dei dati sanitari, genetici e biometrici se tali dati vengono trattati per finalità di diagnosi, cura, ricerca scientifica, biomedica o epidemiologica. Vista la “particolarità” dei dati sarà il Garante a dare indicazione sulle “misure di garanzia” da adottare nel trattamento di tali dati.
- Trattamento di dati per fini di rilevante interesse pubblico (Art.2-sexies)
Viene individuato un elenco di trattamenti per categorie “particolari” di dati il cui trattamento trova legittimazione nel presupposto che vengano effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (accesso a documenti amministrativi e accesso civico, tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, delle liste elettorali, rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità, tenuta di registri pubblici relativi a beni immobili o mobili, tenuta dell’anagrafe nazionale degli abilitati alla guida e dell’archivio nazionale dei veicoli, cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato etc.)
- Informativa ed invio di curriculum (Art.111-bis)
L’informativa privacy secondo le nuove indicazioni, potrà essere resa anche successivamente, ovvero al momento del primo contatto utile con il soggetto che ha proposto la sua candidatura con l’invio spontaneo del proprio curriculum, al fine della instaurazione di un rapporto di lavoro.
- Figure intermedie operanti sotto l’autorità del titolare o responsabile (Art.2-quaterdecies)
Viene introdotta la figura del “soggetto designato” o “autorizzato”. Il Titolare ed il Responsabile, infatti, potranno delegare compiti e funzioni specifiche che il soggetto nominato dovrà svolgere sotto la loro diretta autorità e responsabilità.
Le sanzioni previste dal nuovo Regolamento sulla privacy
- Sanzioni Amministrative Pecuniarie (Art. 166)
Sono definiti i criteri di applicabilità delle sanzioni amministrative pecuniarie di cui all’art. 83 GDPR.
Con il Decreto n. 101 del 10 Agosto del 2018 si definiscono i criteri secondo i quali applicare le sanzioni. Dall’applicazione delle sanzioni di minore entità, che possono raggiungere i 10 milioni di euro per i singoli e per le aziende fino al 2% del fatturato globale annuo riguardanti la violazione degli obblighi previsti per i titolari ed i responsabili, a quelle di maggiore entità, che possono arrivare a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale che può essere anche fuori dall’Europa.
- Sanzioni penali (artt.167 e ss.)
Vengono introdotti reati più specifici in relazione al “Trattamento dei dati”. Le sanzioni prevedono misure che vanno da 6 mesi fino ad arrivare ai casi più gravi a 6 anni di reclusione “…Chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dal Regolamento arreca nocumento all’interessato, sarà punito” per i reati di:
- Trattamento illecito di dati (reclusione da 1 a 3 anni);
- Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (reclusione da 1 a 6 anni);
- Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (reclusione da 1 a 4 anni);
- Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (da 6 mesi a 3 anni);
- Inosservanza dei provvedimenti del Garante (da 3 mesi a 2 anni).
I diritti dell’interessato nel nuovo Regolamento privacy
- Esercizi dei diritti dell’interessato – Limitazioni (artt. 2-undecies e 2-duodecies)
I diritti riconosciuti all’interessato dal Regolamento (GDPR) non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto su interessi normativamente tutelati (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura).
- Diritto all’eredità del dato in caso di decesso (Art.2 –terdecies).
I diritti riferiti a persone decedute possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.
Autorità di controllo: tutela amministrativa e giurisdizionale
- Forma di tutela alternativa per l’interessato (Art.140-bis)
Qualora l’interessato ritenga che i diritti di cui gode in base alla normativa sulla protezione dei dati siano stati violati deve scegliere quale forma di “tutela” attivare. Potrà scegliere di proporre il reclamo dinanzi al Garante o in alternativa il ricorso dinanzi all’Autorità giudiziaria competente. Una forma di tutela esclude l’altra.
- Rafforzamento dell’indipendenza dei poteri e dei compiti del Garante (Art.2 quater)
Estensione e rafforzamento dei poteri del Garante (emanazione di provvedimenti specifici in merito al trattamento di dati particolari ; emanazione di provvedimenti che diano indicazione sulle “misure di sicurezza” anche tecniche necessarie a garantire i diritti degli interessati; adozione di provvedimenti riguardanti codici di condotta e regole deontologiche).
- Modalità semplificate per le PMI (Micro, piccole e medie imprese) (Art.154-bis)
Il Garante dovrà adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento predisponendo nello specifico, modalità semplificate di adempimento degli obblighi del titolare del trattamento delle micro, piccole e medie imprese.
- Legittimazione ad agire in giudizio del Garante (Art. 154-ter)
L’Autorità del Garante può agire in giudizio nei confronti del titolare o del responsabile in caso di violazione delle disposizioni in materia di protezione dei dati personali.
- Segnalazione all’Autorità del Garante (Art. 144)
Non solo l’interessato, ma “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento.”
Fase transitoria agevolata nell’applicazione delle sanzioni amministrative pecuniarie
- Attenuazione delle sanzioni per la prima fase di applicazione (Art. 22, comma 13)
“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”
Per i procedimenti ancora pendenti relativi a violazioni del vecchio codice Privacy è prevista una definizione agevolata attraverso l’istituto dell’oblazione (le imprese potranno usufruire di una sanzione in forma ridotta da pagare entro 90 gg dall’entrata in vigore del D.Lgs n.101/2018).
Qual è il ruolo del Garante nell’applicazione della nuova normativa privacy?
In questo nuovo contesto di “mutamento”, tutto è demandato all’Autorità Garante di “controllo” per la protezione dei dati; spetterà a tale Organismo armonizzare le nuove disposizioni garantendo un minimo di certezza ad operatori, manager di azienda, professionisti e Pubblica Amministrazione. Sono questi infatti i soggetti che, nell’applicazione e nell’interpretazione delle normative nazionali, si confrontano ormai quotidianamente con le criticità prodotte dai dettami “privacy” dinanzi alle quali, nel dubbio conseguente al “vuoto normativo”, possono per il momento percorrere l’unica “via certa rappresentata dalla vincolatività della norma di fonte superiore: il regolamento europeo 2016/679 (GDPR).
Sitografia:
- https://www.garanteprivacy.it/regolamentoue
- http://www.gazzettaufficiale.it
- https://protezionedatipersonali.it/autorita-di-controllo
- https://protezionedatipersonali.it/gruppo-di-lavoro-art-29
- https://edpb.europa.eu/
- legge 196 del 2003 riassunto pdf
Articolo a cura di Maria Bolognesi
Laureata in giurisprudenza nel 2004 con tesi in “Iure Civili” presso l’Università degli Studi “La Sapienza” di Roma.
Dal 2004 al 2009 ha collaborato presso diversi studi legali in materia di Diritto penale, Diritto civile, Diritto societario e commerciale.
Attualmente collabora con NSR S.r.l. in qualità di Senior Legal Consultant, prestando la propria opera prevalentemente in ambito Privacy & Data Protection, in particolare come supporto alla funzione di DPO per diverse aziende del settore privato.