PRIVACY: IL D. Lgs CHE ADEGUA IL CODICE ITALIANO ALLA NORMATIVA EUROPEA

Dopo l’entrata in vigore del nuovo Regolamento europeo GDPR n. 679/2016, è stato finalmente pubblicato, pur in ritardo, il decreto legislativo (a suo tempo previsto da legge delega n. 163/2017, che indicava il termine del 26.5.2018, peraltro prorogabile ex art. 13 di tre mesi, come di fatto è avvenuto) che raccorda la disciplina italiana precedente (cd. legge privacy del 2003) con quella europea, nel frattempo pienamente efficace.

Il decreto legislativo n. 101 del 10.8.2018 è quindi il nuovo codice italiano in materia di protezione dei dati personali ed è stato pubblicato sulla Gazzetta ufficiale 4.9.2018, entrando in vigore quindici giorni dopo.

In pratica è stato novellato il vecchio codice privacy, venendo soppressi numerosi articoli (in ragione della presenza della norma europea) e modificati altri.

Nel provvedimento, viene dato al Garante della privacy un forte ruolo nell’attuazione del GDPR, sia per le regole specifiche che per la determinazione delle sanzioni.

Per facilitare la responsabilizzazione degli utenti nel trattamento dei dati personali(che è lo spirito informatore della nuova disciplina europea), la norma prevede (art. 2 quater) che il Garante della privacy promuova l’adozione di linee guida e di regole deontologiche che lo stesso, dopo consultazione pubblica, approverà (pubblicandole in Gazzetta ufficiale).

A questo punto, l’applicazione di quanto disposto dalle linee guida sarà elemento che potrà confermare il rispetto degli obblighi di liceità e correttezza imposti ai titolari del trattamento.

Regole particolari sono stabilite per il trattamento dei dati sanitari, giudiziari, per fini di sicurezza nazionale e difesa, per attività di studio e ricerca, per le comunicazioni elettroniche. Parti che ovviamente interessano solo specifichi soggetti che trattano dati e non la generalità dei soggetti coinvolti negli obblighi imposti dal GDPR.

Nell’ambito dei rapporti di lavoro, si precisa (art. 111 bis) che le informazioni inviate su curricula spontaneamente trasmessi non necessitano di consenso.

Vengono indicate la struttura dell’ ufficio del Garante, le modalità per i reclami, i poteri del garante (richiesta informazioni, accertamenti, ecc.).

Quanto alle sanzioni amministrative, sono stabiliti criteri per la loro applicazione (art.166).

Le sanzioni penali (assenti nella norma europea) sono previste per il trattamento illecito di dati (art. 167), per la comunicazione e diffusione illecita di dati (art. 167 bis), per l’acquisizione fraudolenta di dati (art. 167 ter), per la falsità delle dichiarazioni rese al garante (art. 168), per l’inosservanza dei provvedimento del garante (art. 170).

La norma non dice nulla su possibile moratoria delle sanzioni nella fase iniziale: le Commissioni parlamentari hanno chiesto al Garante un periodo (8 mesi) di attenzione nell’attività ispettiva e sanzionatoria.