GDPR: il nuovo decreto legislativo

Il 19 settembre è entrato in vigore il decreto legislativo n. 101 del 10 agosto 2018, con il quale l’Italia ha adattato la propria normativa nazionale con il Regolamento generale sulla protezione dei dati (GDPR), novellando il Codice Privacy. Sono così ora 19 i Paesi – tra cui Francia, Germania e Regno Unito –  che hanno emanato delle leggi nazionali che integrano il Regolamento europeo.

La prima scelta fondamentale che il nostro legislatore doveva fare era se abrogare o meno interamente il Codice Privacy (d.lgs 196/2003) in vigore. Si è optato per la seconda opzione, novellando solamente il Codice Privacy – che rimane in vigore – con le disposizioni di questo decreto. Si avrà quindi una sorta di “doppio livello”, tra il GDPR e il Codice Privacy novellato dal d.lgs 101/2018, che dovrà comunque sempre essere interpretato in coerenza con il GDPR.

Le tappe principali dell’adeguamento della normativa italiana con il Regolamento UE 679/2016

  • Ottobre 2017: Legge n. 16 del 25 ottobre 2017 (legge di delegazione europea 2016/17): l’art 13 contiene la delega al Governo per adottare un decreto legislativo che adegui il quadro normativo italiano con le disposizioni del GDPR : “Il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.”
  • Dicembre 2017: Il Governo nomina la Commissione (Commissione Finocchiaro) incaricata di predisporre uno schema di attuazione del decreto legislativo. 
  • Gennaio 2018: Insediamento della Commissione Finocchiaro.
  • Maggio 2018:
    • 25 Maggio: inizia ad applicarsi pienamente il GDPR.
    • Parere del Garante sullo schema di decreto legislativo del marzo 2018.
    • Trasmissione dello schema di decreto legislativo alle Camere.
  • Giugno 2018: Esame del decreto legislativo e parere favorevole condizionato della Commissione speciale per l’esame di atti urgenti del Governo di Camera e Senato.
  • Agosto 2018: Approvazione da parte del Consiglio dei Ministri del testo finale del decreto legislativo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il “periodo di prima applicazione”:

Ci sono stati negli ultimi mesi una serie di notizie che segnalavano nel decreto legislativo un’estensione del cosiddetto “grace period” – che è terminato il 25 maggio – durante il quale il Garante avrebbe sospeso la sua attività di ispezione e controllo sulla conformità delle aziende al GDPR. La notizia è priva di fondamento, come confermato anche dal piano ispettivo per il secondo semestre del 2018, disponibile qui.

Le disposizioni presenti nel decreto legislativo prevedono semplicemente che nei primi 8 mesi (fino a maggio 2019) il Garante terrà conto della fase di prima applicazione delle sanzioni. Questo non significa però che sospenderà la sua attività o non emanerà sanzioni.

Il decreto prevede varie novità, che un consulente che opera in questo campo deve conoscere e che comunque richiedono uno studio specifico.

Ecco i punti principali:

Consenso dei minori
L’età minima con cui i minori possono prestare il consenso nel contesto dei servizi della società dell’informazione è stata fissata a 14 anni.

Revisione del sistema di sanzioni penali
Sono state previste – e in parte confermate – alcune sanzioni penali per le violazioni della normativa sulla privacy, che vanno ad aggiungersi a quelle amministrative previste dal GDPR:

  • Il trattamento illecito di dati personali;
  • L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • La comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • Le false dichiarazioni rese al Garante;
  • L’inosservanza dei provvedimenti del Garante;
  • La violazione del comma 1 dell’art. 4 Stat. Lav..

Dati personali sulle persone decedute
I diritti previsti dal GDPR (diritto di accesso, rettifica, cancellazione, ecc.) possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

Codici deontologici e autorizzazioni del Garante
Restano in vigore i Codici deontologici e le autorizzazioni già emanate dal Garante, che saranno però rivisti e aggiornati entro il 18 dicembre 2018.

Misure ulteriori per i dati genetici, biometrici e sanitari
Il loro trattamento sarà sottoposto al rispetto delle “misure minime di garanzia” disposte dal Garante con un provvedimento adottato ogni due anni.

Il “soggetto designato” interno all’organizzazione
Fugati i dubbi circa la figura esterna del responsabile prevista dall’art. 28 del GDPR, viene previsto il potere per titolari e responsabili del trattamento, di delegare compiti e funzioni del trattamento a specifiche persone fisiche che operano sotto la loro autorità.

Questi i punti principali di una norma complessa, che va ad integrare il quadro normativo nazionale con il Regolamento Europeo per la Protezione dei dati e che è necessario conoscere per un’applicazione efficace della protezione dei dati nella propria organizzazione.

Per maggiori informazioni sul Regolamento, scarica il libro verde gratuito Regolamento generale sulla protezione dei dati (GDPR) – Guida alla conformità o visita il nostro sito web.

Scarica il libro verde gratuito Visita il sito web

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.