LE NOSTRE NEWS

Decreto Legislativo 101/2018 di aggiornamento del Codice della Privacy(D.Lgs 196/2003) e di adattamento al GDPR - Regolamento UE

Pubblicato il 01/10/2018

"Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

Il D.Lgs. 101/2018 è stato approvato il 10 Agosto 2018 e successivamente pubblicato sulla G.U. del 4 settembre 2018. Il decreto non contiene una disciplina specifica sulla sua entrata in vigore e quindi segue l’ordinario criterio (15 giorni dalla pubblicazione) e pertanto è vigente dal 19 settembre 2018.

Dal 19 settembre 2018, pertanto, cominciano a decorrere i termini:

-> per completare la normativa della privacy secondo le indicazioni europee;
-> per il pagamento dell'oblazione per le violazioni del Codice della privacy.

Si tratta di un decreto legislativo contenente un aggiornamento massiccio del D.Lgs 196/2003 Codice della Privacy, che rimane in vigore anche se in diverse parti molti articoli vengono abrogati o sostanzialmente modificati-

Il Decreto richiama espressamente i contenuti precettivi del GDPR 2018, abbinandoli alle disposizioni del Codice - che rimane fonte di disciplina “sotto-ordinata” in via generale, o di attuazione nei casi in cui lo stesso GDPR richiama i provvedimenti nazionali in determinate materie o ambiti.

Cambia dunque anche la finalità del Codice: mentre prima il Codice aveva lo scopo di "garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali” adesso tale finalità è assolta dal GDPR e quindi il Codice rappresenta una forma di “adeguamento” alle superiori disposizioni comunitarie.

Il nuovo Codice Privacy, a seguito dell’adeguamento subito, risulta molto ridimensionato, in parte perché sono state abrogate molte norme ritenute incompatibili con quelle previste dal GDPR, ma anche perché ne sono state eliminate molte simili tra loro per evitare duplicazioni. Altre modifiche, invece, hanno riguardato quelle disposizioni del Regolamento non direttamente applicabili e che, ora, lasciano spazi di intervento da parte dei singoli Stati membri.

Il Dlgs n. 101/2018 prevede che, per un periodo transitorio, continuino ad essere efficaci i provvedimenti generali del Garante, che saranno oggetto di un successivo riesame, ed i Codici deontologici vigenti.

Il Decreto:
-> definisce inequivocabilmente cosa si intende per comunicazione e diffusione dei dati personali;
-> assegna al Garante della privacy il ruolo di autorità incaricata del controllo e della promozione delle regole deontologiche in materia;
-> stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
-> tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
-> considera rilevante l’interesse pubblico, che può portare ad utilizzare i dati personali di determinati soggetti;
-> stabilisce che dovranno essere adottate misure adeguate di sicurezza a tutela del dato personale (tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati);
-> il Ministro della Salute acquisito il parere del Consiglio Superiore di Sanità definisce le misure di garanzia da adottare che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura;
-> è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;
-> viene assegnato al Garante il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
-> viene introdotto il concetto di diritto all’eredità del dato in caso di decesso (con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società);
-> su autorizzazione dell’interessato sarà possibile la comunicazione dei dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale;
-> viene introdotto il reclamo, alternativo al ricorso in tribunale come forma di tutela. L’art. 13 del D.Lgs 101/2018 ha innovato l’art. 144 del D.Lgs. 196/2003 prevedendo adesso che “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento”. Mentre, in precedenza, solo l’interessato poteva procedere ricorrendo ad una azione legale, adesso il decreto recita: “L'interessato può rivolgersi al Garante mediante reclamo ai sensi dell'articolo 77 del Regolamento" .

Le abrogazionei al Codice Privacy previste nel D.Lgs. n.101/2018

Passando alla disamina delle modifiche più significative apportate dal Decreto, potremmo partire dalle numerose abrogazioni che si leggono in calce al decreto stesso: abrogazioni inutili, in quanto già con l’emanazione del GDPR, secondo il principio della gerarchia delle fonti, quelle norme dovevano semplicemente essere disapplicate.

Di seguito le abrogazioni al Codice dei dati personali espressamente previste nel D.Lgs. n.101/2018 dal 19 settembre 2018.

Sono abrogati i seguenti titoli, capi, sezioni, articoli e allegati del D.Lgs. n. 196 del 2003:

a) alla parte I:
1) gli articoli 3, 4, 5 e 6;
2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII;

b) alla parte II:
1) il capo I del titolo I;
2) i capi III, IV e V del titolo IV;
3) gli articoli 76, 81, 83 e 84;
4) il capo III del titolo V;
5) gli articoli 87, 88 e 89;
6) il capo V del titolo V;
7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119;
8) i capi II e III del titolo X, il titolo XI e il titolo XIII;

c) alla parte III:
1) la sezione III del capo I del titolo I;
2) gli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis,165 e 169;
3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179;
4) il capo II del titolo IV;
5) gli articoli 184 e 185;

d) gli allegati B e C.

La mannaia del legislatore salva i codici di etici e di condotta, rinominati “Regole deontologiche”, contenuti nell’Allegato A del “vecchio” Codice Privacy, ma che dovranno essere riveduti e corretti alla luce delle norme europee e riproposti all’esame del Garante per l’approvazione.

Stessa sorte spetterà alle autorizzazioni generali relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e) (Liceità del trattamento), 9, paragrafo 2, lettera b) e 4 (Trattamento di categorie particolari di dati personali), nonché al Capo IX del GDPR (Disposizioni relative a specifiche situazioni di trattamento).

Per quanto riguarda il regime sanzionatorio, per il principio penalistico del ‘favor rei’, il decreto in esame “sostituisce” le sanzioni penali previste dal Codice privacy con le sanzioni amministrative previste dal Regolamento europeo, anche riguardo a violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso e sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

Restando in argomento sanzioni citiamo l'art. 167 (Trattamento illecito di dati) punito con la reclusione da sei mesi a un anno e sei mesi, l’introduzione dell’art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) punito con la reclusione da uno a sei anni. Viene introdotto anche l' art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) punito con la reclusione da uno a quattro anni, dovuto probabilmente alla crescente preoccupazione per i cyber attacchi a strutture critiche che trattano grandi quantità di dati personali. Segnaliamo la sostituzione dell'art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante), dell’art. 170 (Inosservanza di provvedimenti del Garante) e la sostituzione dell'art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori).

All’articolo 22, comma 13 viene previsto un periodo di adattamento al passaggio delle nuove disposizioni e stabilito un periodo transitorio con specifico riguardo all’applicazione delle sanzioni amministrative. E’ previsto, che per i primi otto mesi dalla data di entrata in vigore del D.lgs. il Garante per la protezione dei dati personali tenga conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Il Garante dovrà, dunque, scrivere le regole per l’applicazione delle sanzioni amministrative. Nel frattempo si è voluto consentire ad imprese e pubbliche amministrazioni di avere il tempo necessario per prendere alcune importanti decisioni, rispetto a procedimenti pendenti, sanzionatori e di altra natura.

Il Decreto consente la definizione agevolata dei procedimenti pendenti relativi a violazioni amministrative, previo pagamento di una favorevole oblazione, davanti all’Authority di settore:

con riferimento agli affari pregressi, gli interessati dovranno inviare una dichiarazione di interesse
per i fatti già ritenuti reato e ora depenalizzati, è prevista la procedura di trasmissione al Garante da parte degli organi giudiziari procedenti.

Al momento, comunque, continuano ad essere efficaci, nella parte in cui sono compatibili, i provvedimenti del Garante già emessi.

NB. Il D.Lgs. 101/2018 così come il D.lgs 196/2003 rimangono fonti SOTTO-ORDINATE rispetto al GDPR (regolamento UE 2016/679) e quindi, in caso di contrasto o di dubbio interpretativo, continuano a prevalere le disposizioni del GDPR.