E’ stato pubblicato sulla Gazzetta Ufficiale n. 205 del 4/9/2018 il Decreto Legislativo 10/08/2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Il testo pubblicato sulla Gazzetta Ufficiale è stato approvato dal Consiglio dei Ministri in data 8/8/2018. Si tratta di un provvedimento atteso da tempo, sia per la legge delega al Governo sia per l’applicazione del Regolamento UE 2016/679 (GDPR) dal 25 maggio scorso. Questo intervento di modifica del codice privacy si è reso necessario, in quanto il testo del D.Lgs. 196/2003 presentava norme in conflitto con quelle di rango superiore (principio di gerarchia delle fonti) contenute nel GDPR.
Si propone qualche spunto sulle principali novità apportate al codice privacy.
- Il trattamento dei dati personali avviene secondo le norme del Regolamento UE 2016/679 e del codice privacy. Pertanto, il riferimento normativo primario diviene il GDPR in base al quale sono state adeguate le disposizioni nazionali.
- Riguardo ai servizi della società dell’informazione, il minore potrà esprimere il proprio consenso con il compimento dei 14 anni, mentre per i minori di anni 14 è necessario il consenso di chi esercita la responsabilità genitoriale. Si tratterà di capire come potrà essere concretamente dimostrato l’accertamento del compimento degli anni 14.
- Vengono precisate le condizioni per il trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante, nonché per il trattamento dei dati relativi alla salute.
- Dati biometrici: nel rispetto dei principi in materia di protezione dei dati personali contenuti dell’art. 32 del GDPR in materia di misure di sicurezza, è ammesso l’utilizzo dei dati biometrici nelle procedure di accesso fisico e logico ai dati da parte delle persone autorizzate (il testo indica “soggetti autorizzati”). Si esclude in ogni caso la diffusione.
- Vengono precisate le condizioni per le limitazioni.
- Procedimenti giudiziari: atti, documenti e provvedimenti utilizzati in sede processuale che si basano sul trattamento dei dati personali la validità degli stessi è disciplinata dalle disposizioni processuali.
- Persone autorizzate: il titolare o il responsabile del trattamento possono individuare specifici compiti e funzioni a “persone designate” facenti parte della organizzazione. In realtà, il GDPR fa riferimento a “persone autorizzate” (art. 3 e art. 29) e non, invece, a persone designate. Si dovrà, evidentemente, considerare le persone designate come “autorizzate” secondo la formulazione del GDPR, anche in considerazione dell’utilizzo della espressione “persone autorizzate” - contenuta nel Regolamento UE 2016/679 - in altre parti del modificato codice privacy. Pertanto, si è trattata di una svista terminologica del legislatore.
- Organismo nazionale di accreditamento: viene conferito al Garante il potere di assumere direttamente l’esercizio di tali funzioni e in caso di grave inadempimento dei compiti dell’Ente nazionale di accreditamento, anche con riferimento a una o più categorie di trattamenti. La norma, così come formulata, introduce la possibilità di un intervento del Garante in presenza della condizione (infatti viene utilizzata la congiunzione “e”) di un “grave inadempimento” dei compiti dell’Ente nazionale di accreditamento. In questo modo il potere del Garante si estende anche alle attività proprie (non viene precisata alcuna limitazione se non attraverso un approccio ermeneutico che deve considerare quanto previsto dal GDPR) dell’Ente nazionale di accreditamento. Tuttavia, la formulazione adottata lascia spazio ad alcune incertezze: chi può determinare che vi sia un “grave inadempimento” dell’Ente nazionale di accreditamento ? Come si accerta un “grave inadempimento” che legittimi l’intervento del Garante ? Una simile formulazione potrebbe far scaturire conflitti tra l’Ente di accreditamento e il Garante.
- Introdotte novità in materia di trattamento in ambito pubblico.
- Novità anche in ambito sanitario.
- Interventi riguardo ai trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
- Introdotte modifiche in materia di lavoro. Per i curricula spontaneamente trasmessi, resta fermo il principio della informativa da rendere al momento del primo contatto utile.
- Precisazioni in materia di comunicazioni elettroniche.
- Modificati i rimedi utilizzabili dinanzi al Garante (reclami e segnalazioni).
- Precisazioni di compiti, poteri e funzionamento del Garante.
- Modificato l’impianto sanzionatorio, anche penale.
- Codici di deontologia e buona condotta: estensione dell’efficacia fino alla definizione della procedura di approvazione in base alle nuove condizioni.
- Autorizzazioni generali: estensione dell’efficacia sino all’adozione delle regole deontologiche.
- Applicazione delle sanzioni: per i primi otto mesi dall’entrata in vigore del decreto in questione il Garante dovrà tener conto - nell’applicazione delle sanzioni - della fase di prima applicazione delle disposizioni sanzionatorie. La norma, così come formulata, fa scaturire incertezze interpretative poiché non è chiaro in che modo il Garante in concreto tiene conto della prima applicazione. Una interpretazione estensiva farebbe ritenere che il Garante dovrebbe applicare sanzioni più lievi (?). Se così fosse verrebbe introdotto un principio di mitigazione delle sanzioni non contemplato nel GDPR con conseguente evidente conflitto con norme di rango primario.
La tecnica di normazione utilizzata è discutibile, posto che si è provveduto ad una modifica del D.Lgs. 196/2003 mediante abrogazioni e introduzione di norme che richiamano il GDPR. Sarebbe stato più efficace un intervento diverso che avesse limitato gli interventi alla parte speciale, lasciando spazio unicamente alle opportune precisazioni normative della parte generale ove fosse stato necessario chiarire i principi generali espressi dal GDPR che necessitano di integrazione con la disciplina nazionale.