Il Decreto di adeguamento al GDPR è stato pubblicato in Gazzetta Ufficiale.
Le principali novità in vigore dal 19 settembre: il ruolo del Garante, il consenso del minore, il diritto all’eredità dei dati, i nuovi reati e le sanzioni.
Con la pubblicazione del D. Lgs n. 101/2018 nella Gazzetta Ufficiale del 4 settembre, l’Italia si adegua “finalmente” al Regolamento Generale Europeo sulla protezione dei dati personali (GDPR).
A partire dal prossimo 19 settembre, quindi, le aziende italiane dovranno garantire il rispetto effettivo delle garanzie di tutela imposte dall’Europa in materia di data protection, al fine di evitare ingenti sanzioni amministrative e penali.
A dimostrazione del fatto che il Bel Paese si trovi in notevole ritardo nell’adozione della nuova ottica di accountability imposta dalla normativa europea, tuttavia, l’art. 22, comma 13 del D. Lgs. 101/18 stabilisce che: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”, con ciò concedendo alle aziende nazionali ritardatarie un ulteriore margine di “tolleranza”.
Tenendo in debito conto il fatto che ad appena due giorni dalla pubblicazione, non si può che offrire un commento parziale e superficiale dell’atto normativo in oggetto, di seguito proponiamo un primo focus su alcune delle disposizioni più attese e discusse nei lunghi mesi di preparazione del testo definitivo.
IL RUOLO DI LEADER DEL GARANTE
Alla luce di una prima lettura della norma in commento, appare subito chiaro il ruolo fondamentale di guida, oltre che di controllo, attribuito all’Autorità Garante per la protezione dei dati personali.
Il Garante, infatti, potrà emanare diversi tipi di provvedimenti:
- regole deontologiche, nell’ambito dei trattamenti effettuati in osservanza di un obbligo legale, per ragioni di rilevante interesse pubblico e per i dati genetici, biometrici e relativi alla salute (art. 2 quater);
- misure di garanzia per specifiche categorie di dati (genetici, biometrici e relativi alla salute),
che individuino misure di sicurezza, comprese la pseudonimizzazione, cifratura, minimizzazione, accesso selettivo, necessarie a garantire i diritti degli interessati (art. 2 septies);
- provvedimenti generali per trattamenti che, presentando un alto rischio per i diritti e le libertà delle persone, sarebbero soggetti a valutazione di impatto a norma dell’art. 35 del Regolamento (art. 2 quinquiesdecies);
- linee guida di indirizzo in relazione alle misure tecniche ed organizzative di attuazione dei principi del Regolamento (art 14.7, lett. a).
Tali disposizioni pongono, dunque, l’accento sul ruolo produttivo che il Garante dovrà assumere e sulla mole di lavoro che tra regole deontologiche, linee guida, codici di condotta, misure di salvaguardia ecc. resta ancora da fare prima di avere un quadro completo, formale e sostanziale in materia di data protection.
IL CONSENSO DEL MINORE
Una delle più importanti novità del Regolamento 2016/679 rispetto alla precedente Direttiva 95/47/CEE, di cui abbiamo già argomentato nella sezione Focus GDPR – Tutela personale dei minori è la previsione espressa in materia di consenso dei minori di cui all’art. 8 GDPR.
Tale ultima disposizione, infatti, in relazione all’accesso ai servizi della “società dell’informazione” (si pensi ai servizi on line quali vendite, gioco d’azzardo ecc), statuisce che il trattamento dei dati personali del minore è lecito solo ove lo stesso abbia almeno 16 anni, con la precisazione, tuttavia, che i singoli Stati membri “possano stabilire per legge un’età inferiore, purchè non inferiore ai 13 anni”.
Il D. Lgs. 101/18 che su tale punto è rimasto sempre coerente sin dal progetto originario, all’art. 2- quinquies, prevede un’età minima per prestare il consenso al trattamento dei propri dati personali di 14 anni, che risulta coerente, tra l’altro, anche con la recentissima legge n. 71/2017 in materia di cyberbullismo.
I DIRITTI DELLE PERSONE DECEDUTE
Una novità interessante del Decreto Lgs. 101/18 è l’introduzione di un “diritto all’eredità del dato” che non risulta invece codificato nel GDPR.
Il considerando 27, infatti, prevede espressamente che il Regolamento non si applica ai dati personali delle persone decedute, riconoscendo però, al contempo, la possibilità agli Stati membri di regolamentare autonomamente il trattamento di tale categoria di dati.
L’art. 2 terdecies, quindi, beneficiando della suddetta facoltà, prevede che i cd. Diritti dell’interessato previsti dall’art. 15 all’ art. 22 del GDPR (accesso, rettifica, oblio, limitazione, rettifica,portabilità, opposizione) relativi a dati di persone decedute possono essere esercitati “da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. L’interessato ha la facoltà di vietare (chiaramente per il futuro) espressamente questa possibilità, presentando dichiarazione scritta al titolare del trattamento, purchè tale divieto non incida sull’esercizio dei diritti patrimoniali di terzi derivanti dalla morte dell’interessato, ovvero sul diritto di difesa dei propri interessi in giudizio.
SANZIONI AMMINISTRATIVE
Senza alcun dubbio le disposizioni più attese erano quelle relative alle sanzioni amministrative e penali derivanti dall’inosservanza delle norme del GDPR.
Quanto alle ingenti sanzioni amministrative pecuniarie previste dal Regolamento 2016/679, l’art. 15 del D. Lgs 101/18, riformulando l’art. 166 del Codice Privacy, fornisce due elenchi che individuano le violazioni che comportano nel primo caso, in applicazione dell’art. 83 par. 4 GDPR il pagamento di una somma fino a 10 Milioni di euro o al 2% del fatturato mondiale totale annuo, mentre nel secondo caso, in applicazione dell’art. 83 par. 5 GDPR la corresponsione di un importo fino a 20 Milioni di euro o al 4% del fatturato mondiale annuo.
Le suddette sanzioni saranno adottate con proprio provvedimento dal Garante a seguito di un procedimento instaurato a seguito di reclamo, autonoma iniziativa del Garante o in base alle risultanze di accessi e ispezioni dallo stesso eseguite o delegate. Il titolare o il responsabile coinvolti avranno diritto a ricevere una notifica delle violazioni contestate e potranno presentare memorie, documenti e chiedere audizione personale entro 30 giorni dal ricevimento della comunicazione.
Entro il termine previsto per la proposizione del ricorso il trasgressore può definire la controversia adeguandosi alle disposizioni eventualmente impartite dal garante e pagando un importo pari alla metà della sanzione.
Le sanzioni amministrative “sostitutive” di quelle penali si applicheranno anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
REATI
Quanto alla già nota fattispecie di “Trattamento illecito di dati”, originariamente prevista dall’art. 167 del Codice Privacy, l’art. 15.10.b del D.Lgs 101/18 amplia il dolo specifico richiesto stabilendo che la condotta criminosa possa avere quale finalità non solo quella di “trarre per sé o altri profitto”, ma anche quella di “arrecare danno all’interessato”.
Risulta inoltre aggiunto un riferimento specifico alla violazione delle misure di garanzia di cui all’art. 2 – septies e di quelle adottate ai sensi dell’art. 2-quinquiesdecies.
Il decreto introduce, poi, 4 nuove tipologie di reato:
- la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (nuovo art. 167 bis introdotto all’art. 15.10.c D.lgs 101/18);
- l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (nuovo art. 167 ter introdotto dall’art. 15.10 c d.lgs 101/18);
- la falsità nelle dichiarazioni al Garante e l’interruzione dei compiti o dell’esercizio dei poteri del Garante; (art. 168 come sostituito dall’art. 15.10. d D.Lgs 101818);
- l’inosservanza dei provvedimenti del Garante (art 170 come sostituito dall’art. 15.10.e D.lgs 101818).
DEFINIZIONE AGEVOLATA DEI PROCEDIMENTI PENDENTI
Merita, infine un cenno, vista la rilevanza pratica immediata, la disposizione transitoria di cui all’art. 18 secondo la quale i procedimenti sanzionatori relativi a violazioni del Codice della Privacy attualmente pendenti potranno essere definiti eccezionalmente, entro 90 giorni dall’entrata in vigore del Decreto, in forma “agevolata”, mediante la corresponsione di una somma ridotta pari a due quinti del minimo edittale.
Quanto sin qui argomentato è il risultato di una “frettolosa” lettura del nuovissimo testo legislativo e non rappresenta, quindi, che una prima semplicistica analisi di una normativa che, seppure sembra non presentare grandi sorprese, a parere di chi scrive, andrà analizzata accuratamente, anche alla luce delle prime applicazioni pratiche, nonché del fondamentale apporto e supporto delle Autorità Garanti, nazionale ed europea, e che, in ogni caso, non sarà completa prima dell’adozione del Regolamento E-Privacy, prevista tra la fine del 2018 e gli inizi del 2019.
Lucrezia D’Avenia