Contenuto principale

Messaggio di avviso

Il 4 settembre scorso è stato pubblicato sulla Gazzetta Ufficiale il Decreto legislativo 101/2018, che ha il compito di armonizzare la normativa nazionale in materia di privacy e protezione dei dati personali al Regolamento UE 2016/679 (GDPR, Regolamento Generale sulla Protezione dei Dati) del Parlamento europeo e del Consiglio del 27 aprile 2016.

La tecnica di normazione utilizzata dal Governo italiano ha reso più complicato il lavoro di comprensione e raccordo dell'attuale quadro normativo e ha aggiunto complessità al gravoso lavoro di adeguamento delle Pubbliche Amministrazioni e delle aziende per conformarsi alle richieste del legislatore europeo e i quesiti sul tema sono numerosi.

Per facilitare il lavoro dei responsabili della privacy di Pubbliche Amministrazioni e aziende e per provare a fare ordine e chiarezza su questo tema, Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy e Cybersecurity, propone dodici risposte alle domande più frequenti sulla nuova normativa italiana in materia dei dati personali.

1 - Qual è la normativa che si deve applicare in Italia per il trattamento dei dati personali?
Le norme che devono essere prese in considerazione sono quelle contenute all'interno del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, noto come "GDPR-General Data Protection Regulation", e quelle del Decreto legislativo 196 del 30 giugno 2003, detto "Codice Privacy", così come modificato nel recente Decreto legislativo 101 del 10 agosto 2018.

2 - Ci sono novità in seguito al Decreto legislativo 101 in materia di Informativa Privacy e consenso al trattamento dei dati personali?
Nessuna novità. Per l'Informativa Privacy continuano a valere tutte le regole dettate dagli articoli 13 e 14 del GDPR. Stesso discorso per il consenso al trattamento dei dati personali, ove continuano a valere, come regole generali, quelle previste dall'articolo 6, comma 1, lett. a), e dall'articolo 7 del GDPR.

3 - Qual è l'età minima per ottenere il consenso al trattamento dei dati personali direttamente dall'utente minorenne?
In relazione all'offerta diretta di servizi della società dell'informazione, il Decreto legislativo 101 afferma che può esprimere il consenso al trattamento dei propri dati personali il minore che abbia compiuto i 14 anni di età. Questa previsione, quindi, abbassa da 16 a 14 gli anni previsti dal GDPR. Invece, il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito solo nel caso in cui sia prestato da chi esercita la responsabilità genitoriale.
Un'accortezza in più deve essere prevista dal Titolare del trattamento anche nel linguaggio che viene utilizzato per informare il minore. La normativa italiana, infatti, richiede esplicitamente che le informazioni e le comunicazioni relative al trattamento dei dati del minore siano chiare, semplici, concise, esaustive, facilmente accessibili e comprensibili.

4 - Come fa il Titolare del trattamento a rendere l'Informativa Privacy in caso di ricezione spontanea di curriculum vitae ai propri indirizzi?
Continuano a valere le regole di sempre. Infatti, specifica il Decreto legislativo 101, in caso di ricezione di un curriculum spontaneamente trasmesso dall'interessato per instaurare un rapporto di lavoro, l'Informativa Privacy, prevista dall'articolo 13 del GDPR, dovrà essere fornita al momento del primo contatto utile successivamente all'invio del curriculum.

5 - Il Titolare del trattamento può farsi supportare nelle attività di trattamento dal proprio personale interno?
Nel Decreto legislativo 101 si ribadisce e si specifica quanto già previsto nell'articolo 29 del GDPR. Infatti, il Decreto afferma che, nell'ambito del proprio assetto organizzativo e sotto la propria responsabilità, il Titolare del trattamento può prevedere che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche che operano sotto la sua autorità. Questi soggetti, però, devono essere espressamente designati per tali compiti.
In tema di rapporti di lavoro, inoltre, è opportuno notare che il Decreto legislativo 101 ha espressamente ribadito il divieto di controllo a distanza dei lavoratori, previsto dall'articolo 4 dello Statuto dei Lavoratori, e ha confermato anche la relativa sanzione penale.

6 - Ci sono novità a seguito del Decreto Legislativo n. 101 in materia di misure di sicurezza da applicare al trattamento di dati personali?
Il Decreto legislativo 101 non apporta alcuna novità alle regole generali in materia di misure di sicurezza. Il Titolare del trattamento, pertanto, può continuare ad avere come riferimento le relative norme previste dal GDPR.

7 - E novità in materia di diritti degli interessati?
Anche in questo caso il Decreto legislativo 101 non apporta modifiche significative alle regole generali previste dalla norma europea. Il Titolare del trattamento può continuare ad avere come punto di riferimento gli articoli dal 15 al 22 del GDPR.
Tuttavia, il Decreto esplicita in maniera molto puntuale i casi in cui l'esercizio dei diritti degli interessati può subire delle limitazioni. Ad esempio, è questo il caso delle richieste che possano pregiudicare i trattamenti svolti per finalità di giustizia o ledere i diritti delle persone decedute. Un'ulteriore nota di interesse, inoltre, è legata all'esplicita tutela della riservatezza dell'identità del dipendente che segnala, ai sensi della normativa sul 'whistleblowing', l'illecito di cui sia venuto a conoscenza in ragione della propria attività.

8 - Quali sono le categorie professionali che devono guardare con maggiore attenzione il contenuto del Decreto legislativo 101?
Il Decreto legislativo 101 va a prevedere e adeguare la normativa nazionale soprattutto in quei settori dove il trattamento di dati personali risulta più delicato e complesso. Come, ad esempio, il trattamento di dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, oppure il trattamento di dati personali svolti in ambito sanitario o per l'erogazione di comunicazioni elettroniche.

9 - Cosa ha previsto il legislatore italiano per le piccole e medie imprese (PMI)?
Il Decreto legislativo 101 evidenzia con chiarezza l'esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese. Il Garante per la protezione dei dati personali, pertanto, dovrà adottare delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR per il settore delle PMI, individuando delle modalità semplificate di adempimento degli obblighi del Titolare del trattamento.
Deve, però, essere molto chiaro che ciò non autorizza le PMI a non adeguarsi – anzi, per essere precisi, a non essere già adeguate – al dettato del GDPR e del nostro nuovo Codice Privacy.

10 – Adesso cosa accadrà per tutti quei provvedimenti emanati dal Garante per la protezione dei datipersonali antecedenti al 25 maggio 2018 (come, ad esempio, quelli in materia di videosorveglianza, amministratori di sistema, marketing)?
Tutti i provvedimenti del Garante per la protezione dei dati personali a decorrere dal 25 maggio 2018 continuano ad essere applicati, in quanto compatibili con il GDPR e con le disposizioni del nuovo Codice Privacy. Discorso leggermente differente, invece, deve essere fatto per le autorizzazioni generali, per le quali il Garante dovrà pronunciarsi sulla loro compatibilità con il nuovo impianto normativo – ed eventualmente aggiornarle – entro 90 giorni dalla data di entrata in vigore del Decreto legislativo 101.

11 - Cosa succede se i dati personali sono trattati in violazione della disciplina vigente?
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

12 - Oltre alle note sanzioni amministrative, la legislazione italiana prevede anche delle sanzioni penali per il Titolare del trattamento?
Il Decreto legislativo 101, all'articolo 167 e successive modifiche, prevede alcuni illeciti penali, che si configurano soltanto nel caso in cui la condotta del Titolare del trattamento sia finalizzata a trarre per sé o per altri profitto, ovvero per arrecare danno all'interessato. Questi illeciti si riferiscono al "Trattamento illecito di dati" (articolo 167), alla "Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala" (articolo 167-bis) e all'"Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala" (articolo 167-ter). Ulteriori illeciti penali sono previsti per "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio di poteri del Garante" (articolo 168), per la "Inosservanza di provvedimenti del Garante" (articolo 170) e per le "Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori" (articolo 171), oltre le eventuali pene accessorie previste dall' articolo 172.