baffo

Decreto di adeguamento al GDPR: questioni ricorrenti e novità.

Decreto di adeguamento al GDPR: questioni ricorrenti e novità.

E’ di poche settimane fa la pubblicazione in Gazzetta Ufficiale del Decreto legislativo di adeguamento della normativa nazionale italiana al GDPR numero 101/2018 (di seguito, il “Decreto”), in vigore dallo scorso 19 settembre. Tale decreto è andato ad abrogare parti del “vecchio” Codice della Privacy (d.lgs. 196/2003), mantenendolo, nel suo impianto normativo complessivo, in vigore ed adattandolo alle disposizioni della celebre normativa comunitaria in applicazione dallo scorso 25 maggio.

 

E’ doveroso evidenziare che la disciplina della protezione dei dati personali è stata oggetto di una riformulazione non formale bensì sostanziale, essendo mutata la filosofia di fondo fra il Codice della Privacy ed il GDPR, passando da un principio di responsabilità ad uno di responsabilizzazione (cd. accountability) che ispira anche il nuovo Decreto[1].

 

Pertanto ad oggi l’impianto normativo in tema di Privacy, e relativo trattamento dei dati personali, si compone di due differenti testi normativi: il Regolamento UE 679/2016 (GDPR) ed il d.lgs. 196/2003 (Codice della Privacy) così come aggiornato dal decreto 101/2018 (Decreto di adeguamento). A seguito di questa impostazione così frammentata e complessa, nonché del cambio radicale di principi ispiratori, abbiamo ritenuto opportuno riassumere qui di seguito, brevemente e per punti, quelle che sono le novità introdotte dal nuovo testo di legge, raccogliendo alcune fra le questioni ricorrenti e fornendo le relative risposte:

 

  • Posso trattare i dati dei minori e da che età? Se si, come ottengo il consenso? (art. 2-quinquies)

Il GDPR all’art. 8 dispone che “il trattamento dei dati personali del minore è lecito ove il minore abbia almeno 16 anni”, lasciando tuttavia agli stati membri la libertà di abbassare tale soglia, purché non inferiore a 13 anni, dimostrandosi pertanto in linea con il Children’s Online Privacy Protection Act (C.O.P.P.A.)[2] americano secondo cui nessuna persona giuridica può raccogliere e trattare dati di soggetti minori di 13 anni se non a determinate condizioni[3].

Il legislatore italiano ha abbassato la soglia dei 16 anni del GDPR, fissando a 14 anni il limite minimo d’età per esprimere validamente il consenso al trattamento dei propri dati personali. Per i soggetti di età inferiore a tale soglia, il consenso dovrà necessariamente essere prestato da coloro che esercitano la responsabilità genitoriale sul minore. Imprescindibile sarà pertanto fornire adeguata informativa al minore attraverso modalità, forme e linguaggio semplici e chiari, finalizzati a consentire la libera ed informata valutazione del minore stesso relativamente al rilascio del proprio consenso.

 

  • Categorie particolari di dati genetici, biometrici e relativi alla salute. Come possono essere trattati? (art. 2-septies)

Questi dati potranno essere trattati solo alle condizioni di cui all’art. 9, c.2 del GDPR (a titolo esemplificativo, consenso esplicito, adempimento di obblighi o interesse pubblico) e solo conformemente alle misure di garanzia disposte, a cadenza biennale e previa consultazione pubblica di almeno 60 giorni, dal Garante. Nello specifico, queste misure di garanzia dovranno individuare le misure di sicurezza da adottare, come la cifratura e la pseudonimizzazione dei dati personali, le misure di minimizzazione, gli strumenti e le modalità di accesso selettivo ai dati, lasciando inoltre al Garante la possibilità (e la libertà) di indicare ogni ulteriore misura di sicurezza dovesse ritenere necessario adottare. Questa nuovo compito del Garante ha potenzialmente un impatto non indifferente sul sistema di sicurezza in ambito sanitario, richiedendo investimenti e aggiornamenti almeno biennali in tema di security.

 

  • Esistono limiti per i diritti dell’interessato? (art. 2-undecies)

Il decreto di adeguamento specifica che, con riferimento ai diritti di cui agli artt. da 15 a 22 del GDPR, tra cui si ricordano il celebre “diritto all’oblio” ed il diritto di accesso dell’interessato, gli stessi non possono essere esercitati dall’interessato quando dal loro esercizio possa derivare un pregiudizio “effettivo e concreto” ad altri diritti ed interessi che sono categorizzabili come pubblici e superiori. Il legislatore ha pertanto effettuato un bilanciamento di interessi, andando si a riconoscere la sacralità dei diritti dell’interessato così come disposti dal GDPR, derogandone tuttavia l’applicabilità nel momento in cui interessi di più alto rango entrano in gioco . In tal senso, a titolo esemplificativo, la limitazione ai diritti di cui sopra è disposta nei casi in cui risulti necessario tutelare la riservatezza delle vittime denuncianti richieste di estorsione o, ancora, dei dipendenti in tema di whistleblowing.

 

  • E’ stata introdotta una nuova figura oltre ai vari titolari, responsabili, incaricati e DPO? (art. 2-quaterdecies)

No! Molti dalla lettura dell’articolo in questione hanno desunto, sbagliando, la nascita di una nuova figura obbligatoria all’interno del proprio organigramma societario. E’ doveroso tuttavia specificare che l’art. 2-quaterdecies del decreto è semplice espressione del normale principio auto-organizzativo dei titolari o dei responsabili esterni, i quali possono avvalersi di specifici collaboratori, comprese le persone fisiche, designandole al compimento di specifici compiti e funzioni in tema di trattamento dati. Preme sottolineare inoltre come questi soggetti debbano operare sotto la diretta autorità del titolare e del responsabile, due figure cardine del nuovo impianto normativo, sulle quali permane la responsabilità. Pertanto designare un soggetto interno al solo fine di scaricare le proprie responsabilità in quanto titolari del trattamento non sarà possibile.

 

  • Cosa devo fare con i dati di coloro che mi inviano spontaneamente il curriculum? Come faccio a rendere loro l’informativa prima dell’invio? ( 111-bis)

Il decreto dispone chiaramente che l’informativa di cui all’art. 13 del GDPR debba essere resa al momento del primo contatto utile successivo all’invio del curriculum. Potranno pertanto essere trattati tali dati anche prima di aver inviato l’informativa. Consigliamo tuttavia di rendere disponibile sul proprio sito web un’informativa standard per l’invio dei curriculum, in modo tale da informare l’interessato ancor prima del contatto.

 

  • Tutti questi adempimenti per la compliance al GDPR sono imposti anche per le MPMI(Micro Piccole Medie Imprese)[4]? (art. 154-bis)

L’art. 154-bis del decreto dispone chiaramente che il Garante debba promuovere, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, di cui al comma 1, lettera a) del medesimo articolo, delle procedure e delle modalità semplificate di adempimento degli obblighi del titolare del trattamento. Starà pertanto ora compito del Garante definire tali linee guida. E’ comunque molto positivo che gli inviti posti dai vari rappresentanti di settore, tra cui Confcommercio, siano stati recepiti definitivamente nel decreto e non esclusivamente come norme transitorie. L’obiettivo parrebbe pertanto essere quello di consentire un’implementazione sostenibile del GDPR per tutti.

 

  • E le sanzioni? Quali sono? E’ vero che non vengono applicate per il primo anno?

L’impianto sanzionatorio delineato dal corpus normativo del GDPR e del decreto è piuttosto ampio, integrando alle ben note sanzioni amministrative del primo – sino a 20 milioni di euro o al 4% del fatturato annuo mondiale lordo[5] – alcune sanzioni penali del secondo. Nello specifico, sono state introdotte le due nuove fattispecie di reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167-bis) e di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter), punite rispettivamente con la reclusione da 1 a 6 anni e da 1 a 4 anni. Meritano infine un cenno anche le ulteriori fattispecie penali previste dal novellato codice, ovvero il trattamento illecito di dati personali, le false dichiarazioni rese al Garante, l’inosservanza dei suoi provvedimenti e la violazione del c.1 dell’art. 4 dello Statuto dei Lavoratori relativo all’installazione e all’utilizzo degli impianti audiovisivi sul luogo di lavoro.

Preme infine sottolineare che non vi è stata alcuna deroga alle sanzioni! Al più, l’art. 22 del Decreto dispone che per i primi 8 mesi – fino a maggio 2019 – il Garante, nell’applicare le sanzioni amministrative, dovrà tener conto della prima fase di applicazione delle disposizioni transitorie. Ciò lascia spazio a rilevanti dubbi interpretativi che spetterà al Garante risolvere.

 

Nel mentre, ricordo a tutti i lettori che il primo settembre, in conformità al protocollo d’intesa stipulato dal Garante con la Guardia di Finanza il 10 marzo 2016, quest’ultima ha iniziato i controlli presso le aziende e le Pubbliche Amministrazioni. Finalmente si passa dal testo della norma alla sua applicazione e verifica sul campo.

 

[1] M. Iaselli, “In G.U. il decreto di adeguamento al GDPR: i punti salienti della normativa”, 5 settembre 2018, in Il Quotidiano Giuridico, http://www.quotidianogiuridico.it/documents/2018/09/05/in-g-u-il-decreto-di-adeguamento-al-gdpr-i-punti-salienti-della-normativa.

[2] E’ una legge statunitense che si prefigge di tutelare la privacy dei minori di 13 anni, approvata dal Congresso americano nel 1998 ed in vigore dal 2000, raggiungibile al seguente URL: https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5.

[3] In tal senso, il C.O.P.P.A. alla sezione §312.3 dispone:

Generally, under this part, an operator must:

(a) Provide notice on the Web site or online service of what information it collects from children, how it uses such information, and its disclosure practices for such information (§312.4(b));

(b) Obtain verifiable parental consent prior to any collection, use, and/or disclosure of personal information from children (§312.5);

(c) Provide a reasonable means for a parent to review the personal information collected from a child and to refuse to permit its further use or maintenance (§312.6);

(d) Not condition a child’s participation in a game, the offering of a prize, or another activity on the child disclosing more personal information than is reasonably necessary to participate in such activity (§312.7); and

(e) Establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information collected from children (§312.8).”

[4] Il D.M. del 18 aprile 2005, pubblicato in Gazzetta Ufficiale n.238 del 12 ottobre 2005, titolato “Adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese”, all’art. 2 dispone che:

“1. La categoria delle microimprese, delle piccole imprese e delle medie imprese (complessivamente definita PMI) è costituita da imprese che: a) hanno meno di 250 occupati, e b) hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro. 2. Nell’ambito della categoria delle PMI, si definisce piccola impresa l’impresa che: a) ha meno di 50 occupati, e b) ha un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro. 3. Nell’ambito della categoria delle PMI, si definisce microimpresa l’impresa che: a) ha meno di 10 occupati, e b) ha un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro.”

[5] Come disposto dall’articolo 83, c.5 del GDPR, relativo alle condizioni generali per infliggere sanzioni amministrative pecuniarie in caso di violazione delle disposizioni del Regolamento.