È entrato in vigore il 19 settembre 2018 il Decreto legislativo 10 agosto 2018, n. 101 che adegua il Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) alle disposizioni del Regolamento (UE) 2016/679.
Il Garante rende disponibile sul proprio sito web istituzionale il testo coordinato del Codice.
La parte generale del Codice Privacy italiano risulta sostituita quasi integralmente dalle disposizioni del Regolamento, sicché le norme sui principi, basi giuridiche del trattamento, informativa e consenso previgenti sono abrogate e sostituite da quelle della normativa europea.
Quanto alla parte speciale, si segnalano di seguito le principali novità:
CURRICULUM VITAE
Il d.lgs. 101/2018 stabilisce che l'informativa ex art. 13 GDPR vada fornita al momento del "primo contatto utile", successivo all'invio del curriculum. Nei limiti delle finalità stabilite dall'articolo 6, paragrafo 1) lettera b) del GDPR, il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.
CONTROLLI A DISTANZA
Viene fatta espressamente salva la disciplina dell'art. 4 dello Statuto dei Lavoratori (come modificata nel 2015 dal Jobs Act) e viene altresì confermata la sanzione penale ex art. 38 l. 300/1970 per i casi di violazione del comma 1 dell'art. 4 dello Statuto dei Lavoratori.
SEMPLIFICAZIONI PER PMI
Riveste particolare importanza l’intervento di riforma a tutela delle PMI operato sul nuovo art. 154-bis, comma 4 del Codice Privacy (introdotto dal d.lgs. 101/2018): viene infatti stabilito che, per quanto concerne le micro e le piccole e medie imprese, in considerazione delle esigenze di semplificazione, il Garante per la protezione dovrà prevedere nelle proprie linee guida modalità semplificate di adempimento degli obblighi del titolare del trattamento.
CONSENSO DEI MINORI
In relazione all'offerta diretta di "servizi della società dell'informazione", il consenso potrà essere espresso al compimento dei 14 anni di età. Al di sotto di tale soglia, il consenso andrà prestato da chi esercita la responsabilità genitoriale.
CODICI DEONTOLOGICI E AUTORIZZAZIONI GENERALI
Il Legislatore ha deciso di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante, che saranno oggetto di successivo riesame. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione e da pubblicarsi entro novanta giorni dalla data di entrata in vigore del decreto, individuerà le prescrizioni contenute nelle autorizzazioni generali che risultino compatibili con le disposizioni del GDPR e del d.lgs. 101/2018 e, ove occorra, provvederà al loro aggiornamento.
Le autorizzazioni generali sottoposte alla predetta verifica e che dovessero essere ritenute incompatibili con il GDPR, cesseranno di produrre effetti.
Il Garante è inoltre chiamato a promuovere l'emanazione delle regole deontologiche concernenti il trattamento dei dati personali in alcuni settori (lavoro, giornalismo, statistica e ricerca scientifica) coinvolgendo i soggetti interessati ed effettuando una consultazione pubblica.
SANZIONI
Il legislatore italiano ha deciso di avvalersi della facoltà, concessa dal GDPR a tutti gli Stati membri, di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo). Vengono penalmente sanzionati:
- il trattamento illecito di dati personali;
- l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
- la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
- le false dichiarazioni rese al Garante;
- l'inosservanza dei provvedimenti del Garante;
- la violazione delle diposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori;
A fronte di un sistema sanzionatorio amministrativo particolarmente ampio e rigoroso, caratterizzato da una forte dissuasività, alcuni tra i primi commentatori hanno posto in evidenza un possibile profilo di violazione del divieto di ne bis in idem, con riguardo a talune condotte.
DATI PERSONALI CONCERNENTI PERSONE DECEDUTE
Merita di essere menzionata la norma che si occupa dei dati delle persone decedute.
I diritti di cui agli articoli da 15 a 22 del GDPR riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.
L'esercizio dei predetti diritti non è ammesso quando ciò sia vietato per legge, o quando - limitatamente "all'offerta diretta di servizi della società dell'informazione" - l'interessato lo abbia espressamente vietato con dichiarazione scritta ed inequivoca.
L'eventuale divieto non potrà comunque produrre effetti pregiudizievoli per l'esercizio da parte di terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi.
Come gestire correttamente la catena di ruoli e responsabilità privacy? Il Parere 22/2024 dell’EDPB
Il Parere 22/2024Nel corso dell’ultima riunione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha adottato il Parere 22/2024 [...]