Privacy. Adeguamento della normativa nazionale al GDPR

E'stato pubblicato in Gazzetta Ufficiale¹ il decreto legislativo 10 agosto 2018, n. 101 recante adeguamento della normativa nazionale al Regolamento UE 679/2016 sulla protezione dei dati personali (meglio noto come GDPR). 

Il decreto legislativo, che entrerà in vigore il 19 settembre 2018, abroga la maggior parte delle norme del Codice Privacy che, dal 25 maggio 2018, sono risultate incompatibili con quelle del Regolamento. 

Di seguito le principali misure di particolare interesse per le imprese.

Modalità semplificate per MPMI

E' attribuito al Garante privacy il potere di promuovere per le micro, piccole e medie imprese (MPMI) modalità semplificate di adempimento degli obblighi previsti dal GDPR in modo da assicurare un'implementazione sostenibile del GDPR e degli obblighi in tema di protezione dei dati personali.

Diritti degli interessati

Il decreto, nel disciplinare le modalità con le quali i diritti potranno essere esercitati dal soggetto interessato, richiede il rispetto delle misure di tutela della riservatezza specificatamente previste dal decreto legislativo 231/2007 per quanto riguarda l'antiriciclaggio e decreto legislativo 179/2017 per quanto riguarda il whistleblowing. Con riferimento  a quest'ultimo, è salvaguardata l'identità del dipendente che segnala l'illecito di cui sia venuto a conoscenza in ragione del proprio ufficio².

Inoltre, si segnala che l'esercizio di accesso ai dati personali concernente le persone decedute spetta a chi abbia un interesse proprio o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. La volontà dell'interessato, sino a che risulti essere in vita, di vietare l'esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata.

Dati genetici, biometrici e relativi alla salute

Con riferimento al trattamento dei dati genetici, biometrici e relativi alla salute, il decreto rimanda alle prescrizioni del GDPR (consenso esplicito, adempimento di obblighi o esercizio di un diritto in ambito lavoristico)³ e alle misure di garanzia che saranno adottate dal Garante privacy e che riguarderanno le misure di sicurezza (es. cifratura, pseudonomizzazione), le misure di minimizzazione, le modalità di accesso selettivo ai dati e le misure per garantire i diritti degli interessati.

Dati giudiziari

Per il trattamento dei dati giudiziari è prevista la necessità che lo stesso sia autorizzato dalla legge ed è consentito nell'esecuzione di protocolli d'intesa per il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'Interno o le Prefetture-UTG, previa adozione di un apposito decreto del Ministero della Giustizia da adottarsi entro il 19 gennaio 2020.

Filiera privacy

E' consentito ai titolari e ai responsabili di prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche designate che operano sotto la loro autorità.⁴ 

Sanzioni amministrative

In tema di sanzioni è previsto un periodo "di attenzione" di 8 mesi (fino al 18 maggio 2019), durante il quale il Garante privacy dovrà considerare le incertezze e difficoltà operative derivanti dal nuovo impianto privacy, non qualificabile in termini di moratoria, nè in un periodo di grazia.

Ambito penale

Il decreto specifica nuove fattispecie di reato di comunicazione e diffusione illecita di dati e di acquisizione fraudolenta di dati personali.

Periodo transitorio

Per quanto riguarda la disciplina transitoria il decreto legislativo:

• prevede che, entro il 17 dicembre 2018, il Garante privacy ponga in consultazione un provvedimento di riordino delle autorizzazioni generali relative ai trattamenti necessari all’adempimento di un obbligo legale o all’esecuzione di un compito di interesse pubblico e ai trattamenti di particolari categorie di dati, al fine di individuare quelle compatibili con le disposizioni del GDPR. Le autorizzazioni relative a trattamenti diversi cessano di produrre effetti al 19 settembre 2018⁵;
• specifica che, a decorrere dal 25 maggio 2018, continuano ad applicarsi, in quanto compatibili con il GDPR e lo stesso decreto di adeguamento, i Provvedimenti del Garante privacy; 
• regola i procedimenti sanzionatori pendenti alla data di applicazione del GDPR (25 maggio 2018). In questi casi, entro il 18 dicembre 2018, è consentito il pagamento in misura ridotta di una somma pari a 2/5 del minimo edittale; decorso tale termine, l’atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata assumono valore di ordinanza-ingiunzione e il contravventore è tenuto a pagare la sanzione entro il 16 febbraio 2019. In ogni caso, entro tale ultimo termine, il contravventore può presentare memorie difensive, esaminate le quali, il Garante privacy può disporre l’archiviazione o adottare specifica ordinanza-ingiunzione⁶;

• regola gli affari pendenti, prevedendo che i soggetti interessati possono presentare al Garante privacy una richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pendenti, previa improcedibilità degli stessi. Entro il 4 ottobre 2018, il Garante privacy pubblica un avviso informativo ed entro i successivi 60 giorni, gli interessati possono presentare la relativa richiesta⁷.

Note

1. Gazzetta Ufficiale - Serie Generale 4 settembre 2018 n. 205.
2. Art. 2-undecies, comma 1 lettera f) del DLgs 101/2018.
3. Art. 9, comma 2, del GDPR.
4. Art. 2-quaterdecies del DLgs 101/2018.
5. Art. 21 DLgs 101/2018.
6. Art. 18 DLgs 101/2018.
7. Art. 19 DLgs 101/2018.

Contatti

Ulteriori informazioni e chiarimenti possono essere richiesti al Settore Fisco e Diritto d'Impresa, tel. 0258370.267/308, e-mail: fisc@assolombarda.it