È avvenuta ieri, 5 settembre 2018, la pubblicazione sulla Gazzetta Ufficiale del decreto legislativo n.101 del 10 agosto 2018, che adegua la normativa nazionale al Regolamento Europeo in materia di protezione dei dati (Gdpr). Il Consiglio dei ministri aveva approvato il decreto il 9 agosto scorso ed entrerà in vigore in Italia il 19 settembre.
Il legislatore italiano non ha abrogato totalmente il decreto legislativo 196 del 2003, noto come Codice Privacy, che continuerà a regolare il tema Privacy in Italia così come riformulato dal D.lgs n.101, ma ha optato per una abrogazione parziale in armonia con il contenuto del Regolamento Europeo 679/2016 (Gdpr) in vigore già dal 25 maggio scorso.
Di seguito, le importanti novità:
IMPORTANTI NOVITÀ SUL TEMA DELLE SANZIONI PENALI CON L’AGGIUNTA DI NUOVE FATTISPECIE DI REATO.
All’art 167 (trattamento illecito di dati) che recita “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione del Regolamento arreca un danno all’interessato, è punito con la reclusione da sei mesi fino a un anno e sei mesi. E nei casi più gravi fino a tre anni”, si aggiungono gli articoli 167 bis e ter:
Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (reclusione da uno a sei anni) e L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, punita con la reclusione da uno a quattro anni.
Con riferimento al concetto di “larga scala” , di cui non v’è una definizione oggettiva e “quantificata” nemmeno all’interno del Gdpr, non possiamo che appellarci alle linee guida rilasciate dal WP 29 che lega tale concetto alla presenza di alcuni fattori quali:
- Il territorio geografico – quanto ampio è il territorio all’interno del quale effettuo il trattamento;
- Il volume e la tipologia dei dati trattati;
- La percentuale di interessati sul totale di una popolazione di riferimento;
- durata del trattamento.
Reclusione da uno a tre anni, invece, in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti.
Rimandando al testo del decreto attuativo per i dettagli, si sottolinea come il GDPR abbia riscritto l’insieme delle sanzioni penali previste in caso di violazione dei diritti sulla privacy. È previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti del Garante.
SANZIONI AMMINISTRATIVE
Sarà compito del Garante Privacy scrivere le regole per l’applicazione delle sanzioni amministrative, previste per esempio, come si legge nel decreto legislativo, per chi non effettua la valutazione d’impatto sulla protezione dati. (Dpia)
“Per i primi 8 mesi dalla data di entrata in vigore del presente decreto”, si legge nell’articolo 22, comma 13, “il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue, della fase di prima applicazione delle disposizioni sanzionatorie”, ma non significa che non potrà irrogare le sanzioni amministrative che possono essere salatissime, arrivando a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale, che può essere anche fuori dall’Europa.
MODALITÀ SEMPLIFICATE DI ADEMPIMENTO DEGLI OBBLIGHI PER LE PMI
Il Garante avrà il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy emendato);
CHIARIMENTI SUI CONCETTI DI “COMUNICAZIONE” E “DIFFUSIONE” DEI DATI
Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato (…).
Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
TRATTAMENTO DATI GENETICI E BIOMETRICI E RELATIVI ALLA SALUTE
Il trattamento di dati genetici, biometrici e relativi alla salute dovrà rispettare misure di garanzia che saranno stabilite ogni due anni dal Garante: il provvedimento che adotta tali misure sarà sottoposto a consultazione pubblica per non meno di 60 giorni (art. 2 septies comma 3 Codice Privacy c come emendato )
CONSENSO MINORI ANNI 14
In Italia dal 19 settembre prossimo chi ha compiuto gli anni 14 potrà esprimere il consenso al trattamento dei propri dati in relazione all’offerta diretta di servizi della società dell’informazione. Questo vuol dire che il quattordicenne potrà iscriversi liberamente sui social network e utilizzare i servizi di messaggistica istantanea (WhatsApp, ecc.). Gli under 14, invece avranno bisogno del consenso di chi esercita la responsabilità genitoriale.
GARANTE PRIVACY
Il nuovo Codice Privacy rafforza i poteri e aumenta i compiti del Garante Privacy, per il quale il legislatore ha stabilito per il personale il limite di 162 unità. Novità anche per chi desidera diventare componente dell’Autorità: “Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti devono essere eletti tra coloro che presentano la propria candidatura nell’ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet”. Infine è cambiata anche la forma di tutela garantita a chi crede di aver subìto una violazione della privacy: non più il ricorso, ma l’interessato può proporre un reclamo al Garante Privacy oppure rivolgersi all’autorità giudiziaria.
DATI PER LA RICERCA SCIENTIFICA E PER FINI STATISTICI
L’Autorità Garante per la protezione dei dati personali dovrà anche promuovere regole deontologiche per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici che può essere effettuato, ecco la novità introdotta, anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
GIUSTIZIA
Tutti gli organi giudiziari sono obbligati a nominare il Data Protection Officer (Dpo).
“DIRITTO” ALL’EREDITÀ DEL DATO IN CASO DI DECESSO
il decreto privacy 2018 dispone che per i dati relativi alle persone decedute, i diritti di accesso e di portabilità dei dati (articoli 15 e 22 del GDPR) potranno essere ereditati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
PROCEDIMENTI PENDENTI
Il decreto legislativo consente la definizione agevolata dei procedimenti pendenti relativi a violazioni amministrative del ‘vecchio’ codice Privacy, con il pagamento di una favorevole oblazione. Ci sono 90 giorni per pagare la sanzione ridotta per le contestazioni pendenti. Si può regolare il conto versando i 2/5 del minino edittale. La scadenza per il pagamento dell’importo è fissata al novantesimo giorno dall’entrata in vigore del decreto legislativo 101/2018, quindi a decorrere dal 19 settembre 2018.
avv. Vincenzo Gallotto
