testo unico privacy

Testo unico privacy: le novità più rilevanti

Il Decreto Legislativo 10 agosto 2018, n. 101, che reca disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali è entrato in vigore in data 19 settembre 2018, segnando una svolta decisiva in ambito di tutela dei dati personali.

L’ampia discrezionalità lasciata dalla cd. Legge di delegazione europea, se da un lato ha favorito un più libero recepimento nei singoli Paesi degli Stati membri, dall’altro non ha fornito indicazioni rilevanti su molti aspetti di notevole importanza. Tra questi, senza dubbio, l’inquadramento giuridico delle violazioni in materia di trattamento di dati con la concreta difficoltà del discrimine tra la sanzione amministrativa e quella penale.

Il Codice, dopo l’entrata in vigore del decreto di adeguamento, risulta profondamente novellato nelle sue disposizioni ma anche fortemente modificato nella sua ispirazione di fondo e nella sua stessa finalità, perdendo la caratteristica di autonomo e sistematico corpus di norme regolanti la protezione dei dati personali.

A fronte dello spazio di manovra che il GDPR (art. 8.1) lascia agli Stati se scegliere di derogare il limite di età, fissato a 16 anni dal legislatore dell’Unione nel definire l’età minima del minore per esprimere il consenso in relazione ai servizi della società dell’informazione (“SSI”), l’articolo 2-quinquies, stabilisce che il soggetto che ha compiuto 14 anni può prestare il proprio consenso al trattamento dei suoi dati per usufruire di tali servizi.

Il legislatore delegato ha deciso di abbandonare il principio del favor minoris, cui inizialmente si era ispirato, per tener conto della realtà attuale, caratterizzata dall’uso sempre più ampio dei servizi telematici e, in particolare, dei social network da parte dei minori.

La facoltà accordata dall’articolo 8.1, GDPR trova un limite: nessuno Stato è legittimato a stabilire un’età inferiore ai 13 anni, al di sotto della quale è necessario che il consenso al trattamento dei dati del minore venga prestato da parte di chi esercita la responsabilità genitoriale.

In tale ambito, il titolare del trattamento ha l’obbligo di predisporre le informative e le altre comunicazioni relative al trattamento con linguaggio particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore.

 

BASE GIURIDICA PER L’ESECUZIONE DI COMPITI DI INTERESSE PUBBLICO O CONNESSI ALL’ESERCIZIO DI PUBBLICI POTERI

L’art. 2 del decreto di adeguamento introduce ancora l’articolo 2-ter del Codice, il quale specifica che per quanto riguarda i trattamenti effettuati per “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” la base giuridica per i trattamenti aventi ad oggetto dati personali “comuni” sia da rinvenirsi esclusivamente in una norma di legge o di regolamento.

La disposizione riformula il previgente articolo 19 del vecchio Codice, ampliando l’ambito soggettivo di applicazione in ossequio a quanto previsto dal GDPR.

Nel Regolamento UE, infatti, scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità (concernente un interesse pubblico o privato) del trattamento perseguita.

L’articolo in commento quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).

L’art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni) introduce l’obbligo per le autorità giudiziarie di designare il Data protection officer (Dpo).

La previsione ricalca quanto già stabilito dal d.lgs. 18 maggio 2018, n. 51, approvato lo scorso maggio, in attuazione alla direttiva (UE) 2016/680.

 

MAGGIORI POTERI AL GARANTE E LE MISURE DI SICUREZZA

Con il decreto di adeguamento, al Garante italiano per la protezione dei dati personali sono stati conferiti poteri molto ampi, finalizzati ad assicurare, anche nel tempo, una attuazione della normativa flessibile e adeguata allo sviluppo delle tecnologie. 

Uno degli aspetti più importanti della nuova normativa riguarda, infatti, l’evidente centralità assegnata al Garante.

Gli viene infatti affidato il compito di promuovere regole deontologiche, scrivere misure di garanzia per il trattamento di dati genetici, biometrici, sanitari, adottare provvedimenti contenenti misure ed accorgimenti a garanzia dell’interessato.

L’art. 2 quater disciplina la promozione di “regole deontologiche” il cui rispetto, in seguito all’approvazione e pubblicazione, diviene condizione essenziale per la liceità e la correttezza dei trattamenti effettuati in osservanza di un obbligo legale, per ragioni di rilevante interesse pubblico e per i dati genetici, biometrici e relativi alla salute.

Oltre alle regole deontologiche, qualora si tratti di dati genetici, biometrici e relativi alla salute, il legislatore italiano ha previsto, secondo quanto concesso dall’art. 9.4 GDPR, l’emanazione di apposite misure di garanzia da parte del Garante.

In tema di trattamento dati sanitari, genetici e ricerca scientifica, il legislatore delegato ha infatti deciso di imporre al Garante l’adozione di un provvedimento, sottoposto a consultazione pubblica prima  della sua emanazione e della durata almeno biennale, con cui individuare quelle ulteriori misure di sicurezza  (oggi contenute nelle attuali Autorizzazioni Generali, oggetto di successivo riesame e che saranno abrogate solo se dovessero essere ritenute incompatibili con il GDPR) condizioni o determinati accorgimenti che i Titolari dovranno osservare nel trattare tali particolari categorie di dati.

Tali misure individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione (cfr. art. 32 GDPR), le misure di minimizzazione (in linea con quanto già disponeva il Codice previgente), le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Infine, per trattamenti nell’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati, di cui all’art. 35 GDPR, ossia per quei trattamenti per i quali sarebbe necessaria una valutazione di impatto, ai sensi dell’art. 2 quinquedecies, il Garante, può adottare d’ufficio provvedimenti a carattere generale prescrivendomisure ed accorgimenti a garanzia dell’interessato.

Il decreto di adeguamento, oltre ad ampliare i compiti del Garante, ha rafforzato anche il potere dell’Autorità.

L’art. 154-ter, rubricato “Potere di agire e rappresentanza in giudizio”, introdotto dall’art. 14 del decreto di adeguamento, conferisce al Garante la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali.

Anche il trattamento di dati personali in ambito sanitario subisce rilevanti modifiche.

Il decreto n. 101/2018 ridisegna la parte II del titolo V del d.lgs. n. 196/2003 in conformità alle previsioni del GDPR (art. 9) eliminando la necessità del consenso per il trattamento di categorie particolari di dati personali in ambito sanitario.

In ogni caso, il trattamento dei dati genetici, biometrici e relativi alla salute dovrà avvenire in conformità alle misure di garanzia disposte dal garante con cadenza biennale (art. 2-septies del Codice).

Con la riforma si arricchisce anche la “lista” dei dati particolari (i “vecchi” dati sensibili) includendo i dati genetici, in conformità a quanto previsto dall’articolo 9, paragrafo 1, del Regolamento.

 

DIRITTI RIGUARDANTI LE PERSONE DECEDUTE

A fronte della generale inapplicabilità del Regolamento ai dati personali delle persone decedute sancita dal GDPR nel considerando 27, a mente del quale: “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”, il Decreto Legislativo 10 agosto 2018, n. 101, introduce il concetto di diritto all’eredità del dato in caso di decesso, con la previsione espressa di una norma che consente di disporre post mortem dei propri dati forniti ai servizi informativi delle società, mediante l’esercizio dei diritti ex artt. 15-22 GDPR.

 

SEMPLIFICAZIONI PER LE PICCOLE E MEDIE IMPRESE

Il Decreto Legislativo 10 agosto 2018, n. 10, nell’attribuire al Garante il potere di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento e di approvare le regole deontologiche di cui all’art. 2 – quater, contiene al 4° comma dell’art. 154 – bis l’espressa previsione della promozione, mediante lo strumento delle linee guida, di modalità semplificate di adempimento degli obblighi del titolare del trattamento per le micro, piccole e medie imprese.

La previsione si pone l’intento di introdurre una gradualità di applicazione della normativa, che tenga conto delle esigenze specifiche delle dimensioni delle diverse realtà economiche presenti sul territorio nazionale.

 

TUTELA DI FRONTE AL GARANTE

Rispetto alle forme di tutela dinanzi al Garante, con il d.lgs. n. 101/2018 viene meno il Ricorso quale forma di tutela dinanzi al Garante. In alternativa alla tutela giurisdizionale persiste il Reclamo (art. 141 e ss. del Codice), novellato dall’art. 13 del decreto di adeguamento, il cui procedimento di esame sarà disciplinato dal Garante con proprio regolamento.

Viene modificata anche la disciplina delle segnalazioni (richiamate nell’art. 54, par. 2, del GDPR)

L’art 144 del Codice novellato stabilisce che, “Chiunque” possa rivolgere una segnalazione al Garante e non i soli interessati come previsto dalla lettura combinata dei previgenti artt. 142 e 144. Viene modificata anche la disciplina delle segnalazioni (richiamate nell’art. 54, par. 2, del GDPR). L’art 144 del Codice novellato stabilisce che, “Chiunque” possa rivolgere una segnalazione al Garante e non i soli interessati come previsto dalla lettura combinata dei previgenti artt. 142 e 144.

 

Condividi
Cart
Your cart is currently empty.