Privacy: dal Regolamento (UE) 2016/679 al D. Lgs. n. 101/2018

Sulla base di quanto statuito dal Reg. 679/2016, relativo al trattamento ed alla protezione dei dati personali, nonché alla loro libera circolazione, è traghettato nel nostro ordinamento il Decreto di adeguamento n. 101 del 4 settembre 2018) rimodulando il Codice Privacy ed il D. Lgs. 196/2003 nelle parti confliggenti con la normativa europea.

Il codice del 2018: alcune novità

Alcune delle novità del Decreto Legislativo n.101, rubricato <<Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento UE n.2016/679>>, riguardano:

• in ambito sanitario, il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal DLgs 101/2018 in combinata lettura con l’art. 9 GDPR), passando da un sistema “consensocentrico” ad un sistema in cui occorre prima chiedersi e capire quali siano le ragioni per cui i dati sono trattati, per poi valutare, alla luce della finalità identificata, il fondamento di liceità di tale trattamento;
• l’irrobustimento delle consultazioni pubbliche ed il coinvolgimento delle categorie interessate rispetto alle regole deontologiche in alcuni settori quali lavoro, statistica e ricerca scientifica e ancora si pensi ad esempio alle attività giornalistiche, il Garante promuove l’adozione da parte del Consiglio nazionale dell’Ordine dei giornalisti di regole deontologiche relative al trattamento dei dati specie quelli afferenti la salute o l’orientamento sessuale, restando tuttavia fermi i limiti del diritto di cronaca a tutela dei diritti;
• il Garante ha il potere di introdurre meccanismi di semplificazione delle micro, piccole e medie imprese, come definite   dalla   raccomandazione 2003/361/CE, con riferimento agli obblighi del titolare del trattamento;
• si registra la depenalizzazione della figura di reato di cui all’art. 169 del previgente Codice, non essendo più previste le misure di sicurezza minime;
• in materia penale, viene altresì prevista l’introduzione di nuove fattispecie come l’art. 167-bis in caso di comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala e l’art. 167-ter in caso di acquisizione fraudolenta di dati personali sempre su larga scala; vengono altresì sanzionate le false dichiarazioni rese al Garante, l’inosservanza dei provvedimenti del Garante;
• la disciplina dell’art. 4 dello Statuto dei Lavoratori, come riformata dal Jobs Act nel 2015, viene salvaguardata e mantenuta la sanzione penale ex art. 38 l. 300/1970 per i casi di violazione del comma 1 dell’art. 4 Stat. Lav.;
• i dati personali concernenti persone decedute. Possono essere esercitati i diritti dall’art. 15 al 22 del GDPR da chi ha un interesse proprio, o agisce a tutela dell’interessato deceduto, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

Tale esercizio non è consentito quando ciò sia vietato per legge, o quando l’interessato lo abbia espressamente vietato con dichiarazione scritta ed inequivoca;

• i diritti dell’interessato possono essere limitati in caso di pregiudizio per altri interessi normativamente tutelati: antiriciclaggio, sostegno alle vittime di estorsione, ragioni di giustizia;
• il trattamento di dati genetici, biometrici e relativi alla salute dovrà rispettare misure di garanzia che saranno stabilite ogni due anni dal Garante: il provvedimento che adotta tali misure sarà sottoposto a consultazione pubblica per non meno di 60 giorni, permettendo quindi alle parti sociali di partecipare al processo;
• alcuni compiti e funzioni in capo al Titolare o al Responsabile del trattamento possono essere delegati a persone fisiche operanti sotto la loro autorità;
• il minore che ha compiuto quattordici anni può esprimere il consenso  al  trattamento  dei  propri  dati personali in relazione all’offerta diretta di servizi della società dell’informazione;
• il consenso del candidato al trattamento dei dati personali contenuti nel curriculum vitae non è richiesto. Il Dlgs. 101/2018 stabilisce, infatti, che l’informativa ex art. 13 GDPR, vada fornita al momento del “primo contatto utile”, successivo all’invio del curriculum;
• l’interessato può proporre reclamo al Garante, il quale decide sullo stesso entro 9 mesi dalla presentazione, o proporre ricorso dinanzi all’autorità giudiziaria. Le controversie in materia sono regolate dal rito del lavoro;
• per i primi otto mesi dalla data  di  entrata  in  vigore  del decreto, ossia il 19 settembre 2018, il Garante per la  protezione  dei  dati  personali terrà conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase di  prima  applicazione  delle disposizioni sanzionatorie.

Chi è tenuto a rispettare tali vincoli?

Va considerato, in particolar modo, che tutti i trattamenti dei dati disciplinati dalla normativa in esame dovranno essere resi conformi, dal momento che risulta ineludibile il dovere, da parte di tutti i titolari di trattamento, di allineare i propri sistemi e specialmente le procedure interne aziendali o comunque delle realtà interessate al nuovo ordinamento. Infatti, il biennio concesso ai fini dell’adeguamento (2016/2018) si spiega attraverso la grande quantità di dati da raccogliere, conservare e tutelare secondo gli obblighi previsti. Standard comportamentali ed organizzativi da rivedere per rendere effettiva la circolazione delle informazioni utilizzabili garantendo la tutela della riservatezza delle persone fisiche cui appartengono i dati.

Volume consigliato