Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il D.lgs. n. 101 del 10 agosto 2018 recante disposizioni di adeguamento al D.lgs. n. 196/2003 (“Codice Privacy”).
Di seguito alcune prime osservazioni sulle novità introdotte all’interno del Codice Privacy:
Entrata in vigore del decreto di adeguamento – nessuna proroga ma…
Il decreto di adeguamento del Codice entrerà in vigore ufficialmente il 19 settembre 2018. Nonostante i ripetuti appelli che sembravano avessero sortito effetti positivi in senso al legislatore italiano, non vi è traccia di proroghe rispetto all’effettività delle sanzioni e all’obbligo di adeguamento.
Un’eventuale previsione in tal senso sarebbe stata peraltro contraria ai trattati europei in quanto non è possibile derogare ad un regolamento europeo con un atto legislativo interno.
L’art. 22 prevede che “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Una semplice indicazione di stile che lascia spazio a molteplici interpretazioni ma che, certamente, non sospende la cogenza delle prescrizioni e la vigenza delle relative sanzioni.
Consenso del minore
L’articolo 2-quinquies del Codice (emendato) stabilisce in anni quattordici il limite di età per l’autonoma espressione del consenso al trattamento dei dati personali nell’ambito dell’offerta dei servizi della società dell’informazione. L’articolo 8 del Regolamento Europeo indicava un limite maggiore (sedici anni) con facoltà per gli Stati Membri di prevedere un limite di età diverso ma, comunque, non inferiore ai quattordici anni. Il legislatore Italiano ha inteso sfruttare tale limite al fine, evidentemente, di semplificare, per quanto possibile, il compito di coloro che offrono servizi nella c.d. “società dell’informazione”.
Il trattamento dei dati personali dei minori di anni quattordici è quindi lecito se il consenso è prestato da chi esercita la responsabilità genitoriale.
Gli (ex) Responsabili interni al trattamento
Viene finalmente chiarita la figura del nuovo Responsabile del Trattamento così come previsto dall’art. 28 del Regolamento Europeo e, di conseguenza, la figura di coloro che rivestono le funzioni dell’ex responsabile interno del trattamento.
L’art. 28 del GDPR prevede unicamente la figura di Responsabile Esterno del trattamento ed il d.lgs. 101/2018 di fatto recepisce questa indicazione prevedendo, all’art. 2-quaterdecies che Titolare e Responsabile (esterno) possano designare specifiche persone fisiche alle quali attribuire compiti e funzioni in materia di trattamento dei dati personali attribuendo la funzione di “autorizzato” al trattamento dei dati qualora la persona interessata operi sotto la diretta autorità del Titolare o del Responsabile.
In alcuni casi sarà consigliabile dotare l’organizzazione aziendale di una vera e propria “funzione privacy” interna o, quantomeno, avvalersi di professionisti esterni, purché adeguatamente qualificati.
Whistleblowing e Modelli Organizzativi 231
Interessante anche per gli impatti in tema di 231 è la previsione dell’art. 2-undecies nella quale si prevede che i diritti di cui agli articoli da 15 a 22 (diritti dell’interessato) “non possono essere esercitati” se dagli stessi dovesse derivarne un pregiudizio effettivo e concreto alla “riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017 n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio”. Sarà opportuno in sede di adeguamento privacy un diretto coinvolgimento dell’OdV (se presente) ed un esame della policy in materia di whistleblowing al fine di garantire una coerenza di modelli e processi interni.
Consenso in ambito sanitario
Uno degli aspetti da sempre più delicato nell’ambito della protezione dei dati personali ha interessato il trattamento dei dati sanitari in quanto dati particolari (ex sensibili).
Diversi articoli del Codice hanno subito delle modifiche, in particolare è chiarito definitivamente (si spera) che il consenso per il trattamento dei dati per finalità di diagnosi e cura (art. 2-septies del Codice) non è necessario e che l’obbligo di informativa al paziente continua ad essere reso in area sanitaria con modalità semplificate (art. 78 e 79 del Codice post riforma).
Resta invariato l’obbligo di rispettare le misure minime di garanzia previste dal Garante ed aggiornate periodicamente.
Semplificazioni per le PMI
L’art. 154-bis del Codice come emendato dal d.lgs. 101/2018 da potere al Garante di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con particolare riferimento agli obblighi imposti al Titolare.
Da questa previsione difficilmente potranno derivarne esoneri o deroghe al Regolamento, piuttosto il Garante potrà fornire, alle realtà di più piccole dimensioni, linee guida ad hoc rispetto agli adempimenti richiesti e, in alcuni casi, prevedere forme semplificate di adempimento ma sempre all’interno dell’alveo normativo del GDPR.
Sarà importante capire cosa si intende per “micro, piccole e medie imprese” in quanto la definizione fornita dalla Raccomandazione Comunitaria 2003/361/CE (recepita in Italia con il Decreto di recepimento del Ministero delle Attività Produttive del 18.04.2005) ricomprenderebbe, di fatto, la stragrande maggioranza delle imprese italiane.
Studio MB
Avv. Lorenzo Bianchi