Il decreto legislativo attuativo del GDPR: tutte le novità in vigore dal 19 settembre

Il GDPR (“General Data Protection Regulation” ovvero “Regolamento generale sulla protezione dei dati”) è il regolamento introdotto dalla Commissione Europea finalizzato a rafforzare la protezione dei dati personali dei cittadini dell'Unione Europea nonché a rendere la normativa sulla privacy omogenea in tutto il territorio Europeo.

Il GDPR, introdotto nel panorama europeo con Regolamento UE n. 679 del 2016, è pienamente effettivo dal 25 maggio. Lo scorso 4 settembre 2018 veniva pubblicato nella Gazzetta Ufficiale il decreto legislativo di adeguamento della normativa nazionale alle disposizioni del Regolamento UE (d.lgs. n. 101 del 10.08.2018) entrato in vigore  il 19 settembre 2018.

Il decreto legislativo di armonizzazione abroga e sostituisce le norme del D.Lgs. 196/2003 (Codice per la protezione dei dati personali) con esso incompatibili e completa il quadro della nuova privacy in chiave europea, altresì rispondendo alle urgenze di chiarificazione delle micro, piccole e medie imprese italiane. 

Le maggiori novità riguardano i punti di seguito illustrati; segnatamente:

- vengono emanate norme più serrate a tutela della privacy dei cittadini e ciò a svantaggio delle imprese che dovranno adeguarsi, in pochi giorni, a tali nuove disposizioni per evitare di imbattersi in sanzioni pecuniarie che rischiano di arrivare fino ad un ammontare massimo pari a venti milioni di euro o al 4% del fatturato mondiale totale annuo dell'esercizio precedente. In particolare, con riferimento alle micro, piccole e medie imprese, viene comprovata l’esecuzione delle misure di semplificazione e, conseguenzialmente, sancita la competenza del Garante nel promuovere, ai fini della protezione dei dati personali, le modalità semplificate di adempimento degli obblighi del titolare del trattamento. 

- In materia di “esportazione” di dati personali al di fuori del territorio UE, il regolamento UE, vincola tutti i titolari del trattamento dei dati, anche se con sede legale oltre i confini Europei ma che, tuttavia, trattano dati di soggetti (persone fisiche e persone giuridiche) residenti nell’UE.

- Relativamente all’instaurazione del rapporto di lavoro a mezzo curricula, le informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) dovranno essere fornite al momento del primo contatto utile, successivo all’invio del curriculum vitae e, pertanto, il consenso al trattamento dei dati personali contenuti nello stesso non è richiesto.

- Per quanto concerne il controllo dei lavoratori, il regolamento lascia agli Stati membri la possibilità di provvedere, per mezzo di accordi collettivi o di disposizioni legislative, all’emanazione di particolari regole atte a garantire la protezione dei diritti e delle libertà dei dipendenti, durante i trattamenti dei dati nel contesto del rapporto di lavoro.

- In materia di dati sanitari (dati soggetti a trattamento speciale) viene garantita la piena riservatezza di tutti i cittadini che ricevono cure presso i presidi ospedalieri. Sono da considerare “sanitari” anche i dati genetici e le fotografie scattate a fini di interventi chirurgici. Al fine di garantire la tutela della collettività, lo stesso regolamento prevede limiti al divieto di diffusione dei dati del singolo in determinati casi: quando vi sono finalità connesse alla salute, per assicurare la supervisione del Sistema Sanitario Nazionale e per compiere ricerche nel pubblico interesse. Tuttavia, lo stesso regolamento riconosce agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”;

- Per quanto, invece, concerne i minori di età inferiore ai 14 anni, il GDPR sancisce che il consenso verrà prestato da chi esercita la responsabilità genitoriale;

- Con riferimento alle persone decedute, gli articoli che delineano il diritto di accesso e di portabilità dei dati personali, stabiliscono che, tali diritti, possono essere esercitati da chi abbia un interesse proprio o che agisca a tutela dell’interessato o di suo mandatario ovvero per ragioni familiari meritevoli di protezione. Eccezioni, nel senso del divieto all’esercizio di tali diritti, sono previste dalla legge o quando, nei casi di “offerta diretta dei servizi della società dell’informazione”, l’interessato lo abbia espressamente vietato con dichiarazione scritta ed inequivoca;

- In caso di sanzioni amministrative, la normativa si presenta di difficile interpretazione poiché, il GDPR, nel lasciare piena autonomia al Garante ai fini dell’attuazione delle stesse (sanzioni) e dei provvedimenti correttivi, non fa alcuna previsione delimitante la sua potestà sanzionatoria.

Infatti l’applicazione del provvedimento sanzionatorio è stato subordinato alla presentazione di un apposito reclamo o all’autonoma iniziativa del Garante nonché agli accessi o alle ispezioni della Guardia di Finanza. Pertanto, l’impresa, nel caso in cui il Garante decida di adottare provvedimenti sanzionatori, avrà la possibilità di inviare le proprie difese o chiedere di essere sentita dal Garante entro 30(trenta) giorni.

Oltre a ciò, è statuito che per i primi 8(otto) mesi dalla data di entrata in vigore del decreto legislativo, il Garante, per la protezione dei dati personali, ai fini dell’applicazione delle sanzioni amministrative e in conformità con le disposizioni del regolamento europeo, tenga conto della fase di prima applicazione delle disposizioni transitorie.

Per quanto riguarda invece le sanzioni penali, è previsto che:

1.  in caso di trattamento illecito dei dati (salvo che il fatto costituisca più grave reato) chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, è punito con la reclusione da 6 mesi a 1 anno e 6 mesi;
2.  in caso di comunicazione e diffusione illecita dei dati personali verso un paese terzo o un’organizzazione internazionale è prevista una pena che va da 1 a 3 anni di reclusione;
3. è previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti del Garante.

Inoltre vengono penalmente sanzionati anche l'inosservanza dei provvedimenti del Garante e la violazione del comma 1 dell'art. 4 dello Statuto dei Lavoratori.

Tra l’altro è statuita la possibilità - con riferimento ai provvedimenti non ancora definiti con l’adozione dell’ordinanza di ingiunzione - di pagare la sanzione nella misura ridotta (pari a due quinti del minimo) purché ciò avvenga entro e non oltre il termine dei 90 giorni dalla entrata in vigore del decreto attuativo.

Infine, per le violazioni commesse anteriormente alla data di entrata in vigore del decreto e il procedimento penale non sia ancora stato definito irrevocabilmente con sentenza o con decreto, si prevede la possibilità applicare le sanzioni amministrative sostitutive delle sanzioni penali previste dall’ex Codice Privacy.