Decreto GDPR

Il testo del Decreto Privacy attuativo del GDPR è stato pubblicato in Gazzetta Ufficiale il 4 settembre 2018: ora anche l’Italia si è adeguata al regolamento UE relativo al trattamento dei dati personali, nonché alla libera circolazione degli stessi.

Sebbene il regolamento europeo non abbia bisogno di strumenti nazionali di recepimento o implementazione, nel caso del GDPR il legislatore europeo del 2016 ha ritenuto di lasciare agli Stati membri dell’Unione Europea taluni margini di manovra per poter meglio adattare la norma alle diverse realtà e ordinamenti giuridici e per tenere conto delle peculiarità che negli anni si sono cristallizzate ad opera delle Autorità nazionali di controllo e garanzia sulla privacy (Garante della Privacy)

Pertanto il decreto GDPR, che armonizza la precedente direttiva relativa al regolamento generale sulla protezione dei dati, dispone novità in merito alle regole per la tutela della privacy dei cittadini italiani: è entrato ufficialmente in vigore il 19 settembre 2018.

Per i ritardi nell’adeguamento alle nuove regole sulla privacy, le imprese rischiano sanzioni fino a 20 milioni di euro  o il 4% del fatturato globale, anche se per i primi otto mesi dalla data di entrata in vigore di tale Decreto  il Garante terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.

Ecco le principali novità introdotte nel decreto:

1.    MINORI

L’età per esprimere il consenso al trattamento dei dati, nell’ambito dei servizi della società dell’informazione, viene fissata in 14 anni  sulla base di quanto definito dal Regolamento Europeo  in tema di regolamentazione della tutela dei minori, che prevede un limite di 16 anni riducibile dalle legislazioni nazionali fino a 13 anni.

Per i minori di età inferiore invece, resta in piedi il requisito del consenso avente la potestà genitoriale

Viene inoltre ribadito, quanto già espresso in modo generale dal Regolamento Europeo, e cioè che, a  maggior ragione per questa tipologia di interessati, l’informativa deve essere redatta in linguaggio particolarmente chiaro e semplice

2.    TRATTAMENTO IN AMBITO SANITARIO

Con tale decreto il legislatore italiano conferma  sostanzialmente le scelte del Regolamento Europeo che  stabilisce un generale divieto di trattamento dei dati particolari  tranne che in determinate ipotesi. In particolare le ipotesi che riguardano possibilità di trattare i dati personali anche senza il consenso dell’interessato,  riguardano:

• finalità di medicina preventiva o di medicina del lavoro
• valutazione della capacità lavorativa del dipendente
• diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali
• motivi di interesse pubblico nel settore della sanità pubblica
• se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale

La precedente normativa del Codice privacy subordinava il trattamento di questa particolare tipologia di dati al consenso dell’interessato (che non sempre può o vuole fornirlo), o all’autorizzazione del Garante. La nuova normativa semplifica la situazione. Di contro, però, pretende una tutela rafforzata dei dati, introducendo la possibilità che il Garante imponga misure di garanzia specifiche per il trattamento dei dati sulla salute (con un provvedimento rivisto a cadenza biennale).

Le misure di garanzia riguardano anche le cautele da adottare relativamente a:

1. contrassegni sui veicoli e accessi a zone a traffico limitato;
2. profili organizzativi e gestionali in ambito sanitario;
3. modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
4. prescrizioni di medicinali.

Le medesime disposizioni si applicano anche ai dati genetici e biometrici. In particolare per i dati dati genetici le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, o altre cautele specifiche.

In tale ambiti comunque il Garante emanerà, su base biennale, dei provvedimenti contenenti misure di garanzia, volte ad individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati”

3.    TRATTAMENTI IN AMBITO LAVORATIVO

Per quanto riguarda la ricezione di CV ricevuti spontaneamente, l’informativa può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum medesimo ed il consenso al trattamento non sarà richiesto.

4.   AUTORIZZATI AL TRATTAMENTO

Il decreto consente ai Titolari ed ai responsabili  del trattamento, di designare delle persone fisiche alle quali siano attribuiti dei compiti e delle funzioni specifiche connesse al trattamento dei dati personali.

Il Regolamento Europeo, non prevede espressamente la figura dell’Incaricato ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile

Onde per cui Il Regolamento Europeo non prevede l’obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative inclusi gli obblighi inerenti le misure di sicurezza. L’eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell’incarico e delle istruzioni fornite.

5.  LEGITTIMI INTERESSI

La norma riguarda l’istituto dei legittimi interessi del titolare del trattamento, che è una delle possibili “basi Giuridiche” del trattamento. In generale consente al titolare di trattare dati, anche in assenza di consenso, purché sussistano determinati requisiti, e in particolare occorre che il titolare abbia necessità di elaborare il dato, che bilanci tale interesse con i diritti e le libertà degli utenti, e che il trattamento sia equo.

In realtà le disposizioni contenute nella legge 27 del Dicembre 2017, stabilivano l’obbligo di notificare al Garante della Privacy, in modo preventivo, tutti  i trattamenti basati sui legittimi interessi: tale obbligo era però in contrasto con il principio di accountability del Regolamento Europeo  che stabilisce che sia il titolare del trattamento in autonomia a decidere la base giuridica del trattamento, salvo ovviamente verifiche, e sanzioni eventuali, successive

In relazione a questa difformità il Decreto stabilisce che le azioni di Legittimo Interesse che vanno comunicate al garante riguardano solo i trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni o per trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati.

6.    TUTELA DEI DIRITTI

L’interessato, oltre al reclamo al Garante, può proporre ricorso all’autorità giudiziaria ordinaria. Il reclamo è definito entro un tempo massimo di nove mesi dalla sua presentazione. All’interessato è comunque data la possibilità di presentare segnalazioni al Garante.

7.    ORGANISMO NAZIONALE DI ACCREDITAMENTO

Il Codice individua nell’Ente unico nazionale di accreditamento (Accredia) l’organismo nazionale di accreditamento, fatto salvo il potere del Garante di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.

8.    SANZIONI PENALI

Reati in tema privacy: il decreto attuativo delinea quattro figure di reato in tema privacy:

1. Trattamento illecito di dati
2. Comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala
3. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
4. Falsità di dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante e inosservanza dei provvedimenti del Garante.