«Ora il quadro normativo è completo e non ci sono più alibi per le aziende… l’arbitro può fischiare il calcio di inizio», così Francesco Modafferi (Dirigente del Dipartimento Libertà Pubbliche e Sanità del Garante Privacy) commenta la pubblicazione sulla Gazzetta Ufficiale (Serie Generale n. 205 del 04 settembre 2018) dell’atteso Decreto Attuativo di armonizzazione tra le regole nazionali ed europee sul trattamento dei dati personali. In vigore dal 19 settembre 2018, la nuova normativa italiana recepisce le disposizioni europee pur prevedendo una disciplina semplificata (per le MPMI) e transitoria (su processi pendenti, disposizioni dell’Autorità ed azioni sanzionatorie), che mira a sopperire i ritardi e la complessità legati all’adeguamento dei soggetti interessati.

Quadro normativo di riferimento
Per semplificare l’applicazione del nuovo Regolamento Europeo sulla Privacy o General Data Protection Regulation (di seguito, “GDPR”), il legislatore italiano ha deciso di abrogare solo parzialmente il Decreto Legislativo del Presidente della Repubblica n. 196 del 30 giugno 2003 (di seguito, “D.Lgs. 196/2003”). In attuazione della Legge del Presidente della Repubblica n. 163 del 25 ottobre 2017, il D.Lgs. 196/2003 viene quindi armonizzato al nuovo Regolamento UE del Parlamento Europeo e del Consiglio n. 679 del 27 aprile 2016 (di seguito, il “Regolamento UE 679/2016”) attraverso le disposizioni contenute nel Decreto Legislativo del Presidente della Repubblica n. 101 del 10 agosto 2018 (di seguito, il “D.Lgs. 101/2018”).

Il quadro normativo completo che regola la tutela dei dati personali in Italia è oggi costituito dal Regolamento UE 679/2016, dal D.Lgs. 196/2003 (come novellato dal D.Lgs. 101/2018) nonché dalle disposizioni successive ed integrative del Garante per la Protezione dei Dati Personali (di seguito, il “Garante Privacy”).

Novità di carattere prioritario
ADEMPIMENTO DEGLI OBBLIGHI PER LE MPMI. Viene attribuito al Garante Privacy il potere di promuovere modalità semplificate di adempimento degli obblighi previsti dal GDPR per le micro, piccole e medie imprese. Rispondendo alle esigenze di semplificazione degli operatori economici di queste ultime, il D.Lgs. 101/2018 assicura un’implementazione sostenibile di ciò che è contenuto nel Regolamento UE 679/2016.

APPLICAZIONE DELLE SANZIONI AMMINISTRATIVE. Nello scrivere le regole per l’applicazione delle sanzioni amministrative previste per le violazioni del GDPR (fino ad €. 20.000.000,00 o al 4,0% del fatturato mondiale totale annuo dell’esercizio precedente), il Garante Privacy è chiamato ad evitare azioni eccessivamente punitive verso i soggetti ritardatari. Tenuto conto delle richieste del Parlamento e del carattere innovativo della normativa, l’Autorità deputata ai controlli adotterà una certa gradualità nell’implementazione del regime sanzionatorio per tutti gli otto mesi successivi alla data di entrata in vigore del D.Lgs 101/2018 (termine ultimo: 18 maggio 2019).

Novità di carattere generale
TRATTAMENTO DEI DATI IN AMBITO SANITARIO. Il trattamento dei dati genetici, biometrici e relativi alla salute è rimandato alle misure di garanzia (sicurezza, minimizzazione…) che saranno adottate dal Garante Privacy (con cadenza biennale e previa consultazione pubblica). Fermo restando il rispetto dei principi in materia di privacy, le nuove regole punteranno ad evolvere la ricerca e il mercato in ambito sanitario: innovative modalità di accesso e utilizzo di big data miglioreranno l’attività di prevenzione e cura (grazie alle tecnologie di intelligenza artificiale).

TRATTAMENTO DEI DATI IN AMBITO GIUDIZIARIO. Si prevede che il trattamento dei dati giudiziari sia autorizzato dalla legge ovvero nei casi contemplati dalla stessa. Si stabilisce inoltre che esso sia consentito, nell’esecuzione di protocolli d’intesa per il contrasto dei fenomeni di criminalità organizzata, previa adozione di un apposito Decreto del Ministro della Giustizia. Sino all’entrata in vigore di quest’ultimo, il trattamento, in attuazione di protocolli di legalità, sarà consentito solo alla presenza di apposite specifiche sul tipo di dati giudiziari e di operazioni eseguibili. Tutti gli organi giudiziari sono obbligati a nominare un DPO.

TRATTAMENTO DEI DATI PER ARCHIVIAZIONI, RICERCHE E STATISTICHE. Il Garante Privacy si occuperà di promuovere regole deontologiche per il trattamento dei dati personali finalizzati all’archiviazione nel pubblico interesse, alla ricerca scientifica o storica e all’elaborazione di valori statistici. Le regole per il trattamento si estenderanno oltre il periodo di tempo necessario per conseguire gli scopi per cui i dati sono stati originariamente raccolti ed utilizzati.

TRASPARENZA NELL’UTILIZZO DI CURRICULA. In caso di ricezione di un curriculum vitae finalizzato all’instaurazione di un rapporto di lavoro, il titolare del trattamento ha l’obbligo di fornire informazioni quali le finalità di utilizzo e i dati del DPO al momento del primo contatto utile.

MINORI E SOCIETÀ DELL’INFORMAZIONE. La soglia minima di età, ai fini della validità del consenso espresso dal minore al trattamento dei dati nell’ambito dei servizi della società dell’informazione, è fissato a quattordici anni. Solo gli under quattordici dovranno avere il consenso di chi esercita la responsabilità genitoriale per potersi iscrivere sui social network (Facebook…) ed utilizzare i servizi di messaggistica istantanea (WhatsApp…).

EREDITÀ DEI DIRITTI SUI DATI DI DEFUNTI. I diritti di accesso e portabilità dei dati relativi alle persone decedute può essere ereditato da chi ha un interesse proprio oppure agisce a tutela dell’interessato (come suo mandatario) o per ragioni famigliari meritevoli di protezione.

LIMITAZIONI AI DIRITTI DEGLI INTERESSATI. Nel caso in cui il trattamento dei dati sia origine di effettivi e concreti pregiudizi, è ammessa una limitazione rispetto ai diritti dei soggetti interessati. In tal senso, esemplificativo è il caso del pregiudizio alla riservatezza dell’identità del dipendente che effettua una segnalazione.

ASSEGNAZIONE DI SPECIFICI COMPITI E FUNZIONI. Nell’ambito del loro assetto organizzativo, titolari e responsabili possono prevedere che specifici compiti e funzioni, connessi al trattamento di dati personali, siano espressamente attribuiti a persone fisiche, che operano sotto la loro responsabilità ed autorità.

ACCREDITAMENTO DEGLI ORGANI DI CERTIFICAZIONE. Fatto salvo il potere del Garante Privacy di assumere direttamente tale incarico, spetta ad Accredia (Ente Italiano di Accreditamento) il compito di attestare la competenza, l’indipendenza e l’imparzialità degli organismi di certificazione.

POTERI, COMPITI E PERSONALE DEL GARANTE PRIVACY. Il Garante Privacy rafforza i propri poteri ed assume nuovi compiti. Il personale conta un numero massimo di nr. 162 unità. Cambiano infine le modalità per divenire componente effettivo dell’Autorità.

Novità sulle sanzioni amministrative
DISCIPLINA DEI PROCEDIMENTI A CARATTERE CONTENZIOSO. Spetta al Garante Privacy, con proprio regolamento, disciplinare i procedimenti a carattere contenzioso e dare attuazione alle garanzie operative (rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio…).

DEFINIZIONE DELLE CONTROVERSIE SENZA MISURE PRESCRITTIVE. Entro il termine per la presentazione dei ricorsi, i trasgressori e gli obbligati in solido possono definire le controversie pagando la metà delle sanzioni irrogate e adeguandosi alle prescrizioni del Garante Privacy, senza che quest’ultimo abbia fornito esplicite misure prescrittive.

RIASSEGNAZIONE DEI PROVENTI DELLE SANZIONI. Si prevede che il 50% delle somme derivanti dalle sanzioni sia riassegnato al fondo per il funzionamento del Garante Privacy e sia destinato a specifiche attività (sensibilizzazione, ispezione, attuazione del GDPR da parte dell’Autorità).

Novità sulle sanzioni penali
TRATTAMENTO ILLECITO. Il trattamento illecito di dati personali, commesso da chi mira a trarre profitto per sé o per altri ovvero ad arrecare danno all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi (nei casi più gravi, fino a tre anni).

ACQUISIZIONE FRAUDOLENTA. L’acquisizione fraudolenta di dati personali, oggetto di trattamento su larga scala (concetto che sostituisce il più generico “rilevante numero di persone”), è punita con la reclusione da uno a quattro anni.

COMUNICAZIONE E DIFFUSIONE ILLECITA. La comunicazione e diffusione illecita di dati personali, oggetto di trattamento su larga scala (concetto che sostituisce il più generico “rilevante numero di persone”), è punita con la reclusione da uno a sei anni.

TRASFERIMENTO ALL’ESTERO. Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale (non rientrante nei casi espressamente consentiti) è punito con la reclusione da uno a tre anni.

INOSSERVANZA DEI PROVVEDIMENTI. L’inosservanza dei provvedimenti del Garante Privacy è punita con la reclusione da tre mesi a due anni.

Novità sulla disciplina transitoria
RIORDINO DELLE AUTORIZZAZIONI GENERALI. Si prevede che il Garante Privacy, entro e non oltre il 17 dicembre 2018, ponga in consultazione un provvedimento di riordino delle autorizzazioni generali relative ai trattamenti necessari all’adempimento di un obbligo legale o all’esecuzione di un compito di interesse pubblico nonché ai trattamenti di particolari categorie di dati, al fine di individuare quelle compatibili con le disposizioni del GDPR. Le autorizzazioni riguardanti i trattamenti diversi cesseranno di produrre effetti al 19 settembre 2018.

DISCIPLINA DEI PROCEDIMENTI SANZIONATORI PENDENTI. In caso di procedimenti sanzionatori pendenti alla data di applicazione del GDPR, è consentito il pagamento in misura ridotta, di una somma pari a 2/5 del minimo edittale, entro il 18 dicembre 2018. Decorso tale termine, l’atto di notifica degli estremi della violazione o l’atto di contestazione immediata assumeranno valore di ordinanza-ingiunzione: il contravventore sarà tenuto a pagare la sanzione entro il 16 febbraio 2019. Entro tale ultimo termine, il contravventore potrà comunque presentare memorie difensive, esaminate le quali, il Garante Privacy potrà disporre l’archiviazione o adottare specifica ordinanza-ingiunzione.

DISCIPLINA DEGLI AFFARI PENDENTI. In caso di affari pendenti alla data di applicazione del GDPR, i soggetti interessati possono presentare al Garante Privacy una richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pendenti, previa improcedibilità degli stessi. Entro il 04 ottobre 2018, il Garante Privacy pubblicherà un avviso informativo ed entro i successivi sessanta giorni, gli interessati potranno presentare la relativa richiesta.

SPECIFICHE VARIE E ULTERIORI. Si specifica che: i provvedimenti del Garante Privacy continuano ad applicarsi perché compatibili con le disposizioni del Regolamento UE 679/2016 e del D.Lgs. 101/201; le disposizioni che sostituiscono le sanzioni amministrative alle sanzioni penali si applicano anche alle violazioni commesse prima del 25 maggio 2018 (purché il procedimento penale non sia stato definito con sentenza o decreto irrevocabili); le espressioni “dati sensibili” e “dati giudiziari” sono riferite alle rispettive categorie particolari riportate nel GDPR; le previsioni di cui alla Legge di Bilancio 2018, in tema di trattamenti finalizzati al perseguimento di un interesse legittimo del titolare e realizzati con strumenti tecnologici, si applicano esclusivamente ai trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni (per gli altri casi, tali previsioni sono abrogate).

Aspetti positivi e negativi sulla privacy
Con la pubblicazione in Gazzetta Ufficiale del D.Lgs. 101/2018, l’Italia si adegua alla rivoluzione normativa voluta dall’Europa ed inizia ufficialmente la nuova era della privacy.

Le semplificazioni per le MPMI e la moratoria sui controlli sono aspetti apprezzabili di una normativa nazionale che tende la mano ai soggetti interessati dall’obbligatorio adeguamento alle regole europee. Al contempo, è auspicabile che le disposizioni tuttora mancanti vadano ad integrare o modificare direttamente il D.Lgs. 196/2003. Se così non fosse, si complicherebbe ulteriormente un quadro normativo di riferimento già oggi molto articolato e complesso.

Nel nostro Paese, il mancato adeguamento alle normative in essere sulla privacy da parte delle imprese è spesso dovuto alla scarsa consapevolezza dei pericoli nonché all’insufficiente preparazione tecnica di base. A fronte dell’aumento dei rischi riscontrato nelle realtà più tecnologiche, la salvaguardia dei dati diviene una priorità per le imprese. Per ridurre i tempi di risposta alla conformità e superare la confusione sulle attività da svolgere, è consigliabile affidarsi a professionisti qualificati se non si dispone di idonee risorse interne.

In tema di privacy, Value Target offre servizi specializzati di aggiornamento aziendale nonché di adeguamento alle normative vigenti.