ELENCO NEWS
Lunedì 01 Ottobre 2018

PRIVACY: NOVITÀ DAL 19/09/2018

privacy

È stato finalmente pubblicato in Gazzetta Ufficiale il Decreto Legislativo 101/2018 di armonizzazione al Regolamento Ue n. 679 del 2016 (“GDPR”) che coordina la normativa nazionale con il nuovo Regolamento Europeo sulla privacy e che è entrato in vigore il 19 settembre 2018.

PERIODO TRANSITORIO PER LE SANZIONI AMMINISTRATIVE
All’art. 22, comma 13 del D.lgs. 101/2018 viene previsto un periodo di adattamento al passaggio delle nuove disposizioni e stabilito un periodo transitorio con specifico riguardo all’applicazione delle sanzioni amministrative (per i primi otto mesi dalla data di entrata in vigore del decreto legislativo).

È previsto, infatti che per i primi otto mesi dalla data di entrata in vigore del decreto legislativo, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti cui risulta compatibile con le disposizioni del Regolamento (UE) 20169/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Al contrario di quanto erroneamente pubblicizzato dai media – questo non implica affatto che l'Autorità non comminerà sanzioni per otto mesi (nota, il Garante privacy ha già predisposto un piano ispettivo per il secondo semestre 2018, che interesserà gestori di grandi database, società di telemarketing e Istituti di credito), ma solo che ove tecnicamente possibile, applicherà il potere di ammonimento (una sorta di richiamo), previsto dal GDPR, senza applicare sanzioni amministrative pecuniarie come peraltro era stato già indicato nelle Linee guida del Comitato Europeo (ex WP29) del 3 ottobre 2017.

TRA LE NOVITÀ SI SEGNALANO:

CONSENSO CURRICULA: l’informativa per il trattamento dei dati, nei casi di ricezione dei curricula spontaneamente inviati dai candidati, deve essere fornita dai datori di lavoro al momento del primo contatto utile, successivo all’invio del CV.
MINORI E CONSENSO: il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, con un linguaggio facilmente comprensibile dal minore.
MICRO, PICCOLE E MEDIE IMPRESE: Con l’ampliamento dei poteri del Garante, si prevede che l’Autorità possa disciplinare (promuovere) forme di semplificazione degli adempimenti privacy per le micro, piccole e medie imprese
REINTRODOTTE LE MISURE DI SICUREZZA: Il decreto mitiga gli effetti della filosofia di fondo del Regolamento (“datti un abito su misura”), reintroducendo le misure di sicurezza (come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati), ri-denominandole “misure di garanzia”. Tali misure saranno contenute in un provvedimento del Garante che verrà pubblicato con cadenza almeno biennale, per essere sempre al passo con le tecnologie.
MARKETING DIRETTO E REGISTRO DELLE OPPOSIZIONI: Sul marketing diretto e con riguardo agli elenchi telefonici, il decreto non è intervenuto, recependo lo spirito del GDPR che ha espressamente indicato tale finalità (Considerando 47), come una delle ipotesi di legittimo interesse del titolare quale base giuridica del trattamento.
Tuttavia il Decreto precisa meglio, rispetto alla precedente formulazione dell’art.130 del Codice, “le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, pur mantenendo il limite dell’”impiego del telefono e della posta cartacea” e fatta salva iscrizione al registro delle opposizioni (art.130 co.3 bis del Codice).

Ciò comporta che le mail di contatto, ad esempio, non potranno essere utilizzate per vendite dirette, ricerche di mercato o comunicazioni commerciali.

I DATI DEI DEFUNTI: I dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

LE SANZIONI
Riguardo al capitolo delle sanzioni penali, si deve tener conto del fatto che il Regolamento Ue ha operato una forte depenalizzazione, con conseguente inasprimento delle sanzioni amministrative.
Con il coordinamento avvenuto ad opera del D. Lgs n. 101/2018 vengono recuperate alcune fattispecie penali, come:
• il trattamento illecito di dati personali;
• l’acquisizione fraudolenta;
• le false dichiarazioni rese al Garante.

Obiettivo del Legislatore è quello di adeguare il quadro sanzionatorio delineato dal previgente Codice della privacy, lasciando però sostanzialmente inalterate svariate fattispecie incriminatrici ed introducendone di nuove, al fine della salvaguardia del diritto alla protezione dei dati personali.