In data 19 settembre 2018 è entrato in vigore il decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Reg. UE/2016/679” pubblicato in G.U. lo scorso 4 settembre 2018 attraverso il quale il legislatore nazionale ha completato il quadro regolamentare nazionale in materia di trattamento dei dati personali.
National
L’emanato decreto legislativo n. 101/2018 adegua il Codice in materia di dati protezione dei dati personali, meglio noto come Codice Privacy d.lgs. n. 196/2003), alle disposizioni del Regolamento UE/679/2016.
Il testo ha introdotto una serie di disposizioni alle quali occorre prestare particolare attenzione, tra cui ricordiamo:
Rafforzamento dei poteri del garante
Si osserva il rafforzamento dei poteri dell’Autorità Garante tra cui il potere di adozione di regole deontologiche, di provvedimenti a carattere generale, che possono essere adottati anche d’ufficio nei confronti dei responsabili e dei titolari.
Sanzioni
Il quadro sanzionatorio è parzialmente ridefinito sia sotto il profilo amministrativo che penale (osservando in alcuni casi una non piena armonizzazione con il rischio di sovrapposizione della pena per alcune fattispecie). Sotto il profilo penale, in particolare, la violazione di norme che disciplinano il trattamento dei dati particolari o penali prevedono fino alla reclusione in caso di danno all’interessato.
Micro, PMI
L’art. 14 del decreto introduce l’art. 154bis del Cod. Privacy, che prevede la possibilità per l’Autorità garante di disciplinare forme semplificate degli adempimenti.
Misure di Garanzia.
In alcuni settori specifici di trattamento dei dati particolari (ambito salute, genetici e biometrici) sono introdotte le c.d. Misure di Garanzia che, di fatto, riprendono le misure di sicurezza già previste nel Cod. Privacy, le quali andranno aggiornate a cura del Garante ogni due anni al fine di adeguarle alla mutata evoluzione tecnologica.
Marketing Diretto
Sul punto il legislatore è intervenuto apportando una ulteriore precisazione all’art. 130 Cod. Privacy, con il seguente risultato:
- È (ancora) possibile utilizzare modalità telefoniche e posta cartacea per l’invio di comunicazioni che hanno l’espressa finalità di invio materiale pubblicitario, vendita diretta, compimento di ricerche di mercato, comunicazioni commerciali.
- È quindi escluso l’utilizzo dell’e-mail per il compimento di tali attività;
- La base giuridica potrà essere quella del legittimo interesse a condizione che sia effettuato una preventiva analisi per il bilanciamento delle contrapposte esigenze;
- Sia in ogni caso fornita adeguata informativa.
- È fatto salvo il diritto di registrarsi sul registro delle opposizioni.
Minori
L’età minima per l’espressione del consenso per l’utilizzo dei servizi della società dell’informazione è fissata a 14 anni, al di sotto di soglia occorre il consenso del genitore.
Il Garante nazionale ha reso disponibile sul proprio sito il testo del Codice Privacy integrato con le disposizioni del Regolamento (disponibile al seguente link) a tale proposito si precisa che il testo ha scopo informativo e di orientamento e non ha valore ufficiale posto che gli unici atti ad avere forza di legge sono quelli pubblicati sulla Gazzetta Ufficiale; è infatti necessario precisare che il testo non esaurisce l’intero impianto normativo dal momento che il testo pubblicato omette le parti del nuovo decreto (n. 101/2018) che non hanno come oggetto la modifica o l’abrogazione del Codice Privacy che hanno una loro autonoma applicazione.
L’interpretazione e l’applicazione del quadro normativo deve quindi tenere conto dei tre testi di riferimento il Regolamento UE/679/2016, il Codice Privacy come novellato (d.lgs. 196/2003) e il d.lgs. 101/2018.
Stante la rilevanza delle modifiche, si auspica per alcuni aspetti l’intervento chiarificatore formale dell’autorità in relazione alla regolamentazione di alcuni aspetti regolati ad esempio da codici di condotta, deontologici o di autorizzazione generale.
European
A livello europeo si segnala la piena operatività del nuovo European Data Protection Body (EDPB), organismo di supporto e di coordinamento delle Autorità di controllo nazionali.
La prima riunione si è svolta il giorno di entrata in vigore del Regolamento, il 25.5.2018, da quel giorno pertanto ha cessato la sua attività il Working Party art. 29, istituito a suo tempo dall’art. 29 della Direttiva 46/95 CE.
Il nuovo organismo avrà poteri più ampi rispetto all’WP29 e si affiancherà al già esistente EDPS European Data Protection Supervisor, istituito con il Reg. 45/2001CE (al quale non si applica il GDPR).
Ruolo fondamentale dell’organismo è garantire la piena e armonizzata osservanza del GDPR nello spazio giuridico europeo.
