NEWS

Tutte le novità dal mondo DGP
Decreto attuativo
Privacy
06/09/2018
Pubblicato sulla G.U. il D.LGS 101/2018 finalmente un po’ di chiarezza?

 

Si attendeva ormai da mesi, in realtà dal 2016, anno di entrata n vigore del GDPR 679/16, la norma che armonizzasse la precedente norma sulla privacy italiana. 

La norma contiene le disposizioni per l’adeguamento della normativa nazionale al Regolamento europeo 679/2016 relativo alla protezione dei dati personali, l’ormai noto GDPR 679/16 entrato in vigore il 25 maggio 2018. Innanzitutto la data di pubblicazione evidenzia la poca sollecitudine del nostro legislatore che ha avuto 2 anni per legiferare (dal 2016 appunto) e che avrebbe dovuto pubblicare per tempo le norme di armonizzazione del regolamento italiano a quello europeo. 

Il decreto quindi non contiene una disciplina specifica sulla sua entrata in vigore e quindi segue l’ordinario criterio (15 giorni dalla pubblicazione) e pertanto è vigente dal 19/9/2018.

Innanzitutto cambia la finalità della Codice italiano: mentre prima aveva lo scopo di “garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali” adesso tale finalità è assolta dal GDPR e quindi il Codice rappresenta una forma di “adeguamento” alle superiori disposizioni comunitarie.

Ricordiamo che il Decreto legislativo correttivo così come il Dlgs 196/2003 rimangono fonti SOTTO-ORDINATE rispetto al GDPR(regolamento UE 2016/679) e quindi, in caso di contrasto o di dubbio interpretativo, continuano a prevalere le disposizioni del GDPR.

Porto all’attenzione alcuni punti interessanti del nuovo codice

 

 

MINORI

L’Italia ha scelto di ridurre a 14 l’età di “minore ai fini GDPR” (possibilità consentita dallo stesso regolamento) rispetto ai 16 anni previsti dal regolamento stesso. Il linguaggio dovrà comunque essere adeguato alla particolare categoria di interessati. 

 

STUDENTI

La norma disciplina il trattamento dei dati degli studenti (di scuole pubbliche e private) prevedendo:

SU RICHIESTA (concetto tecnicamente diverso dal “consenso al trattamento) la possibilità di diffondere i dati per agevolare la ricerca di lavoro o occasioni formative

SENZA CONSENSO la possibilità di mantenere il sistema di pubblicazione degli esiti degli esami mediante affissione. (Questa era una delle principali problematiche introdotte dal GDPR)

 

CURRICULA

La norma contiene una disposizione di semplificazione nel caso di trattamento dei dati contenuti in curricula spontaneamente inviati dall’interessato (anche se privi del consenso al trattamento).

La norma contiene tuttavia due criticità:

  1. si applica solo a seguito di trasmissione “spontanea” del curriculum (quindi è da escludersi nel caso di form o inviti, anche generici, contenuti in siti e pagine informative)
  2. riguarda la trasmissione finalizzata alla instaurazione di un “rapporto di lavoro” (che, se intesa in senso tecnico, esclude tutti gli invii per collaborazioni “esterne” o per finalità di mera presentazione)

 

DATI BIOMETRICI

Si consente, in deroga ai limiti stringenti indicati nei commi precedenti, l’utilizzo di dati biometrici (impronte digitali, iride ecc..) per accedere ai luoghi di lavoro, ambienti o pc e ambienti informatici con alcune garanzie minime di protezione.

 

UNA NUOVA FIGURA: IL DESIGNATO

Art. 2 quaterdecies: La disposizione disciplina la figura del cosiddetto “DESIGNATO” o “AUTORIZZATO” che è la persona fisica (quindi mai una persona giuridica) dipendente a vario titolo (socio, lavoratore indeterminato, determinato, collaboratore ecc…) del titolare e/o del responsabile purchè sia inserito nell’organizzazione, a cui attribuire “specifici compiti e funzioni” rispetto ad uno o più trattamenti.

Si tratta della figura che nella versione precedente della 196/04 era indicato come “INCARICATO”.

 

RECLAMI AL GARANTE (DELAZIONE?)

Mentre per il reclamo occorre dimostrare un interesse qualificato, per la segnalazione non vi sono requisiti soggettivi ed il Garante può procedere anche d’ufficio (anche sulla base di eventuali segnalazioni anonime).

Art. 154-ter: è una norma importante che consente al Garante di agire al posto dell’interessato nei confronti (soprattutto) dei big dell’informatica e delle telecomunicazioni supplendo al gap economico e conoscitivo che potrebbe avere un utente finale dei servizi di massa.

 

RICHIESTE DEL GARANTE

«Art. 157 (Richiesta di informazioni e di esibizione di documenti). - 1. Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.»;

Art. 157: Si tratta forse del principale potere riconosciuto al Garante al fine di acquisire informazioni utili per le proprie istruttorie.

Da notare che la richiesta di informazioni può riguardare TUTTI (compreso interessato e terzi)

 

PULIAMO LA SCRIVANA DEL GARANTE: TRATTAZIONE DI AFFARI PREGRESSI

Disciplina transitoria per “ripulire la scrivania del Garante”. ATTENZIONE: si tratta di una norma che non confluisce nel CODICE ma che rimane nel Dlgs 101/2018.

In pratica entro 60 giorni dal 4 settembre 2018 chiunque ha un reclamo pendente o ha sottoposto una istanza al Garante qualora non comunichi di mantenere un interesse alla trattazione, decadrà e i relativi procedimenti si interromperanno (improcedibilità).

Ciò per consentire al garante di “fare pulito” entro una data certa fra lo “storico” (cioè trattazioni per le quali si applicava il vecchio regime) ed il “corrente”

 

ENTI PUBBLICI

Si riconosce legittimazione allo scambio di dati personali fra Pubbliche Amministrazioni in presenza di una LEGGE ma anche in assenza di una specifica fonte di legittimazione (norma espressa, consenso ecc…) purchè:

  • lo scambio avvenga fra titolari (quindi non è delegabile al responsabile esterno)
  • sia in esecuzione di compito di interesse pubblico (o pubblico potere)
  • non si tratti di dati particolari o giudiziari (ex dati sensibili)
  • sia stata effettuata comunicazione al Garante e questi non abbia inviato diniego o dati prescrizioni

Es: il SUAP che trasmette i dati ai vari enti per acquisire pareri facoltativi o obbligatori; i Vigili del fuoco che scambiano i dati con la protezione civile o viceversa ecc….

 

COSTI PER LA PA

Dall'attuazione del presente decreto, ad esclusione dell'articolo 18, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Formula di stile, al limite dell’ironico, laddove si prevede che le Pubbliche Amministrazioni debbano adeguarsi al GDPR ed al decreto senza nuovi oneri finanziari, strumentali o senza nuovo personale. Ed il DPO? e l’aggiornamento dei software? e la privacy by design e default? e la formazione?

 

ENTRATA IN VIGORE

Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Una delle disposizioni più enfatizzate sulla stampa alla vigilia della pubblicazione.

Si è parlato di “sospensione” delle sanzioni, di clemenza del garante … niente di tutto questo! E’ una mera indicazione di principio in base alla quale il Garante dovrà tener conto delle novità e della complessità del quadro normativo … ma le sanzioni ci sono e rimangono quelle!

 

SANZIONI

Per quanto riguarda il regime sanzionatorio, per il principio penalistico del favor rei, il decreto in esame “sostituisce” le sanzioni penali previste dal Codice privacy con le sanzioni amministrative previste dal Regolamento europeo, anche riguardo a violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso e sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

 

CONCLUSIONI

Non riteniamo possibile, e comunque opportuno, fare ulteriori considerazioni posto che, al fine di cogliere e percepire ogni minima sfumatura del decreto è opportuno analizzarlo accuratamente articolo per articolo e ciò anche per ben comprendere, non solo da un punto di vista formale ma anche e soprattutto sostanziale, le numerose abrogazioni in esso contenute. 

Il consiglio che riteniamo di rivolgere agli operatori del settore è, come sempre, quello di leggere e rileggere accuratamente le norme perché dalla loro corretta interpretazione e integrazione con il Regolamento europeo 679/2016 - e con ciò che rimane del decreto 196/2003 - si potrà avere un quadro sempre più chiaro della portata e dell’impatto dei precetti appena introdotti, tenendo sempre presente che bisognerà anche tenere d’occhio l’attività delle Autorità di controllo europee per avere chiara l’evoluzione della tutela dei dati personali.
 

Se questo era l’obiettivo era quello di semplificare, direi che non sia stato centrato. 

 

Fonte: da un documento di approfondimento del dott. Simone Chiarelli

 

__________

 

 

Per approfondire e per gli amanti della materia segnaliamo:

Gruppo Facebook dedicato al GDPR e PA:
https://www.facebook.com/groups/569951550054710/

 

Gruppo FB GDPR in Italia:
https://www.facebook.com/groups/gdprinitalia/

< Torna alle news
Scopri la soluzine per il GDPR