Il 19 settembre u.s. è entrato in vigore il Decreto n. 101/18 del 10 agosto 2018 che recepisce ufficialmente il Regolamento Europeo in materia di Privacy 679/2016.
Le regole del GDPR, invero, erano già entrate in vigore, in modo automatico, dallo scorso 25 maggio 2018, ma si attendeva comunque il decreto di recepimento del Governo italiano, che è stato pubblicato in GU il 4 settembre u.s.
La normativa definisce i vari aspetti del Regolamento, chiarendone alcuni aspetti, per esempio, cosa debba intendersi per comunicazione e diffusione dei dati personali.
Il testo stabilisce, altresì, che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Per gli infraquattordicenni sarà necessario, invece, il consenso di chi esercita la sua responsabilità genitoriale. Si precisa, inoltre, che il consenso deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto).
Con riferimento alla figura del DPO, è stabilito che tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati, lì dove sussistano ragioni di giustizia.
Il dettato normativo ribadisce la necessità di adottare misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela dei dati personali, misure di minimizzazione e specifiche modalità per l’accesso selettivo ai dati.
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, è stato previsto che il Garante della Privacy promuova modalità semplificate di adempimento degli obblighi dei titolari del trattamento.
Inoltre, a fronte di elevatissime sanzioni amministrative dettate dal regolamento, sono state abrogate le sanzioni penali sovrapponibili a quelle amministrative.
Con particolare riferimento alle discusse sanzioni amministrative, l’articolo 22, comma 13 del decreto 101/2018 contiene una norma che dispone che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, (sempre nei limiti in cui ciò risulti compatibile con le disposizioni del GDPR), ai fini dell’applicazione delle sanzioni amministrative, della circostanza che si è in una fase di prima applicazione delle disposizioni sanzionatorie. In tal senso l’Autorità comminerà comunque le sanzioni per otto mesi, tuttavia potrebbe utilizzare il potere di ammonimento (una sorta di richiamo) previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie (che come noto hanno una portata senza precedenti potendo raggiungere nel massimo i 20 milioni di Euro ovvero il 4% del fatturato mondiale di gruppo).
Il decreto legislativo introduce i seguenti reati con pene che arrivano anche a 6 anni di reclusione: trattamento illecito di dati, comunicazione, diffusione illecita di dati, acquisizione fraudolenta di dati, false dichiarazioni al Garante, interruzione esercizio poteri del garante, inosservanza provvedimenti del Garante.
Il “nuovo” Codice della privacy non conclude il complesso e complicato iter per la definizione di regole e norme a tutela dei dati personali, infatti, l’Autorità Garante per la protezione dei dati personali dovrà emanare nel prossimo futuro ancora una serie di codici di deontologia e di buona condotta sul trattamento di dati relativi a particolari settori, oltre ad una serie di altri provvedimenti di regolamentazione specifica.
