Il 4 settembre scorso il Decreto Legislativo n. 101/2018, che ha il compito di armonizzare la normativa nazionale in materia di privacy e protezione dei dati personali al Regolamento UE 2016/679 (GDPR, Regolamento Generale sulla Protezione dei Dati) del Parlamento europeo e del Consiglio del 27 aprile 2016, è stato pubblicato sulla "Gazzetta Ufficiale".
La tecnica di normazione utilizzata dal Governo italiano – a detta di alcuni esperti - ha reso più complicato il lavoro di comprensione e raccordo dell'attuale quadro normativo e ha aggiunto complessità al gravoso lavoro di adeguamento delle Pubbliche Amministrazioni e delle aziende per conformarsi alle richieste del legislatore europeo e i quesiti sul tema sono numerosi.
Per facilitare il lavoro dei responsabili della privacy di Pubbliche Amministrazioni e aziende e per provare a fare un po' più di ordine e chiarezza su questo tema, Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy e Cybersecurity, propone dodici risposte (che riportiamo qui di seguito) alle domande più frequenti sulla nuova normativa italiana in materia dei dati personali.
1 - Qual è la normativa che si deve applicare in Italia per il trattamento dei dati personali?
Le norme che devono essere prese in considerazione sono quelle contenute all'interno del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, noto come "GDPR-General Data Protection Regulation", e quelle del Decreto Legislativo n. 196 del 30 giugno 2003, detto "Codice Privacy", così come modificato nel recente Decreto Legislativo n. 101 del 10 agosto 2018.
2 - Ci sono novità in seguito al Decreto Legislativo n. 101 in materia di Informativa Privacy e consenso al trattamento dei dati personali?
Nessuna novità. Per l'Informativa Privacy continuano a valere tutte le regole dettate dagli articoli 13 e 14 del GDPR. Stesso discorso per il consenso al trattamento dei dati personali, ove continuano a valere, come regole generali, quelle previste dall'art. 6, comma 1, lett. a), e dall'art. 7 del GDPR.
3 - Qual è l'età minima per ottenere il consenso al trattamento dei dati personali direttamente dall'utente minorenne?
In relazione all'offerta diretta di servizi della società dell'informazione, il DLgs n. 101 afferma che può esprimere il consenso al trattamento dei propri dati personali il minore che abbia compiuto i 14 anni di età. Questa previsione, quindi, abbassa da 16 a 14 gli anni previsti dal GDPR. Invece, il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito solo nel caso in cui sia prestato da chi esercita la responsabilità genitoriale.
Un'accortezza in più deve essere prevista dal Titolare del trattamento anche nel linguaggio che viene utilizzato per informare il minore. La normativa italiana, infatti, richiede esplicitamente che le informazioni e le comunicazioni relative al trattamento dei dati del minore siano chiare, semplici, concise, esaustive, facilmente accessibili e comprensibili.
4 - Come fa il Titolare del trattamento a rendere l'Informativa Privacy in caso di ricezione spontanea di curriculum vitae ai propri indirizzi?
Continuano a valere le regole di sempre. Infatti, specifica il DLgs 101, in caso di ricezione di un curriculum spontaneamente trasmesso dall'interessato per instaurare un rapporto di lavoro, l'Informativa Privacy, prevista dall'art. 13 del GDPR, dovrà essere fornita al momento del primo contatto utile successivamente all'invio del curriculum.
5 - Il Titolare del trattamento può farsi supportare nelle attività di trattamento dal proprio personale interno?
Nel DLgs 101 si ribadisce e si specifica quanto già previsto nell'art. 29 del GDPR. Infatti, il Decreto afferma che, nell'ambito del proprio assetto organizzativo e sotto la propria responsabilità, il Titolare del trattamento può prevedere che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche che operano sotto la sua autorità. Questi soggetti, però, devono essere espressamente designati per tali compiti.
In tema di rapporti di lavoro, inoltre, è opportuno notare che il DLgs 101 ha espressamente ribadito il divieto di controllo a distanza dei lavoratori, previsto dall'art. 4 dello Statuto dei Lavoratori, e ha confermato anche la relativa sanzione penale.
6 - Ci sono novità a seguito del Decreto Legislativo n. 101 in materia di misure di sicurezza da applicare al trattamento di dati personali?
Il DLgs 101 non apporta alcuna novità alle regole generali in materia di misure di sicurezza. Il Titolare del trattamento, pertanto, può continuare ad avere come riferimento le relative norme previste dal GDPR.
7 - E novità in materia di diritti degli interessati?
Anche in questo caso il Decreto 101 non apporta modifiche significative alle regole generali previste dalla norma europea. Il Titolare del trattamento può continuare ad avere come punto di riferimento gli articoli dal 15 al 22 del GDPR.
Tuttavia, il Decreto esplicita in maniera molto puntuale i casi in cui l'esercizio dei diritti degli interessati può subire delle limitazioni. Ad esempio, è questo il caso delle richieste che possano pregiudicare i trattamenti svolti per finalità di giustizia o ledere i diritti delle persone decedute. Un'ulteriore nota di interesse, inoltre, è legata all'esplicita tutela della riservatezza dell'identità del dipendente che segnala, ai sensi della normativa sul 'whistleblowing', l'illecito di cui sia venuto a conoscenza in ragione della propria attività.
8 - Quali sono le categorie professionali che devono guardare con maggiore attenzione il contenuto del Decreto Legislativo n. 101?
Il Decreto Legislativo 101 va a prevedere e adeguare la normativa nazionale soprattutto in quei settori dove il trattamento di dati personali risulta più delicato e complesso. Come, ad esempio, il trattamento di dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, oppure il trattamento di dati personali svolti in ambito sanitario o per l'erogazione di comunicazioni elettroniche.
9 - Cosa ha previsto il legislatore italiano per le piccole e medie imprese (PMI)?
Il Decreto Legislativo 101 evidenzia con chiarezza l'esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese. Il Garante per la protezione dei dati personali, pertanto, dovrà adottare delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR per il settore delle PMI, individuando delle modalità semplificate di adempimento degli obblighi del Titolare del trattamento.
Deve, però, essere molto chiaro che ciò non autorizza le PMI a non adeguarsi – anzi, per essere precisi, a non essere già adeguate – al dettato del GDPR e del nostro nuovo Codice Privacy.
10 – Adesso cosa accadrà per tutti quei provvedimenti emanati dal Garante per la protezione dei dati personali antecedenti al 25 maggio 2018 (come, ad esempio, quelli in materia di videosorveglianza, amministratori di sistema, marketing, ecc.)?
Tutti i provvedimenti del Garante per la protezione dei dati personali a decorrere dal 25 maggio 2018 continuano ad essere applicati, in quanto compatibili con il GDPR e con le disposizioni del nuovo Codice Privacy. Discorso leggermente differente, invece, deve essere fatto per le autorizzazioni generali, per le quali il Garante dovrà pronunciarsi sulla loro compatibilità con il nuovo impianto normativo – ed eventualmente aggiornarle – entro 90 giorni dalla data di entrata in vigore del Decreto Legislativo 101.
11 - Cosa succede se i dati personali sono trattati in violazione della disciplina vigente?
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
12 - Oltre alle note sanzioni amministrative, la legislazione italiana prevede anche delle sanzioni penali per il Titolare del trattamento?
Il Decreto Legislativo n. 101, all'articolo 167 e ss.mm., prevede alcuni illeciti penali, che si configurano soltanto nel caso in cui la condotta del Titolare del trattamento sia finalizzata a trarre per sé o per altri profitto, ovvero per arrecare danno all'interessato. Questi illeciti si riferiscono al "Trattamento illecito di dati" (art. 167), alla "Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala" (art. 167-bis) e all'"Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala" (art. 167-ter). Ulteriori illeciti penali sono previsti per "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio di poteri del Garante" (art. 168), per la "Inosservanza di provvedimenti del Garante" (art. 170) e per le "Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori" (art. 171), oltre le eventuali pene accessorie previste dall'art. 172.
Fonte: articolo di Stefano Mele, avvocato specializzato di Diritto delle Tecnologie, Privacy e Cybersecurity in "Key4biz" .
