PREMESSA: DECRETO 101/2018 DI ADEGUAMENTO DELLA NORMATIVA NAZIONALE AL GDPR
Il 4 settembre 2018 è stato pubblicato nella Gazzetta Ufficiale n. 205 il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento(UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”ed entrerà in vigore a partire dal 19 settembre 2018.
Il Decreto Legislativo 196/2003 (vecchio “Codice privacy”) non è abrogato, ma modificato e integrato dal nuovo decreto che ne realizza l’adeguamento alle disposizioni del GDPR (General Data Protection Regulation).
L’attuale quadro normativo in materia di protezione dei dati personali in Italia, pertanto, è il seguente:
È bene sottolineare che la normativa italiana va interpretata e applicata conformemente a quella europea, in quanto integra, ma non sostituisce il GDPR. Ricordiamo infatti, ai sensi dell’art. 288 TFUE, che “ciascun regolamento europeo, e pertanto anche il Regolamento 679/2016 (GDPR), ha portata generale (..) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli stati membri”.
STRUTTURA DEL DECRETO 101/2018 E PRINCIPALI NOVITÀ
Il decreto 101/2018 è diviso in 6 Capi.
– Il Capo I e il Capo II sono innovativi e sostitutivi di tutta la Parte I del vecchio Codice Privacy e riguardano sostanzialmente principi e disposizioni generali, disposizioni in materia di diritti degli interessati, titolare e responsabile del trattamento.
Preliminarmente segnaliamo che, in base all’art. 2-quater, i codici di condotta (ora rinominati “Regole deontologiche”), contenuti nell’Allegato A del vecchio Codice Privacy dovranno essere riveduti e corretti alla luce delle norme europee e riproposti all’esame del Garante che, se ritenuti conformi al Regolamento, li approverà; gli Allegati B (misure minime di sicurezza) e C (trattamento dei dati in ambito giudiziario o per fini di polizia), invece, sono stati abrogati.
Si segnala, inoltre, l’art. 2-quinquies in tema di consenso del minore in relazione ai servizi della società dell’informazione; con riguardo a tali servizi il trattamento dei dati del minore di età inferiore ai 14 anni è lecito a condizione che il consenso sia prestato da chi esercita la responsabilità genitoriale.
L’art. 2-ter evidenzia che la base giuridica del trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (base giuridica diversa dal consenso e prevista all’art. 6 par. 3 lett. b) del GDPR) è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.
L’art. 2-sexies, invece, pone l’accento sul trattamento di categorie particolari di dati personali (di cui all’art. 9 GDPR) necessario per motivi di interesse pubblico rilevante ed elenca una serie di materie in cui l’interesse pubblico si considera rilevante (ad es. accesso a documenti amministrativi e accesso civico; cittadinanza, immigrazione, asilo; controlli e ispezioni; obiezione di coscienza; gestione rapporti di lavoro etc.).
L’art. 2-septies disciplina dettagliatamente il trattamento di dati genetici, biometrici e relativi alla salute; tali dati possono essere trattati solo in presenza di una delle condizioni elencate al par. 2 del suddetto articolo e solo in conformità alle misure di garanzia stabilite dal Garante all’interno di un provvedimento adottato con cadenza almeno biennale.
L’art. 2-octies riguarda invece i dati relativi a condanne penali e reati (di cui all’art. 10 GDPR). Fatto salvo quanto previsto dal d.lgs. 51/2018 (in tema di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali), il loro trattamento, quando non avviene sotto il controllo dell’autorità pubblica, può essere autorizzato solo da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti in particolare (a titolo esemplificativo e non esaustivo): adempimento di obblighi e esercizio di diritti da parte di interessato o titolare in materia di diritto del lavoro; accertamento, esercizio o difesa di un diritto in sede giudiziaria, esercizio del diritto di accesso ai dati e ai documenti amministrativi, accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto etc.).
Di particolare interesse è l’art. 2-undecies, rubricato “limitazione ai diritti dell’interessato”, che elenca una serie di situazioni in cui l’esercizio dei diritti dell’interessato di cui agli artt. da 15 a 22 GDPR e il reclamo di cui all’art. 77 GDPR subiscono delle limitazioni, in quanto possono comportare un pregiudizio effettivo e concreto (a titolo esemplificativo e non esaustivo) agli interessi tutelati in base alle disposizioni in materia di riciclaggio, allo svolgimento di investigazioni difensive o all’esercizio di un diritto in sede giudiziaria, alla riservatezza dell’identità del dipendente che segnala, ai sensi della legge 30 novembre 2017 n.179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio (whistleblowing).
Un’ulteriore novità è rappresentata dall’art. 2-terdecies che disciplina l’esercizio dei diritti di cui agli artt. da 15 a 22 GDPR, qualora l’interessato sia una persona deceduta; tali diritti possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari e meritevoli di protezione.
Infine si segnala l’art. 2-quaterdecies in tema di attribuzioni e compiti a soggetti designati. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta (è questo il riferimento alle “persone autorizzate”, ex incaricati del trattamento in base al vecchio Codice privacy).
È opportuno evidenziare che molti articoli del vecchio Codice privacy relativi a principi generali in materia di protezione di dati personali, diritti degli interessati, obblighi di titolari e responsabili, misure di sicurezza, adempimenti e notifiche nei confronti dell’Autorità sono stati abrogati in quanto tali materie sono disciplinate in modo innovativo dal GDPR, cui si rimanda integralmente, come specificato in premessa.
-Il Capo III contiene numerose modifiche alla Parte II del Codice privacy e riguarda sostanzialmente disposizioni in materia di trattamento dei dati personali relativi a specifici settori: trattamento da parte di forze di polizia e per fini di sicurezza nazionale o difesa; trattamento in ambito pubblico; trattamento di dati personali in ambito sanitario; trattamento di dati relativi a studenti; trattamenti ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; altri trattamenti in ambito pubblico o di interesse pubblico; trattamenti nell’ambito del rapporto di lavoro; servizi di comunicazione elettronica; attività giornalistiche.
In particolare, nell’ambito di trattamenti di dati personali relativi al rapporto di lavoro, l’art. 9 del decreto di adeguamento prevede l’inserimento nel Codice privacy dell’art. 111-bis che stabilisce che le informazioni di cui all’art. 13 GDPR (informativa), in caso di candidature spontanee, vengano fornite al primo contatto utile, successivo all’invio del curriculum. Inoltre, nei limiti di cui all’art. 6 par. 1 lett. b) GDPR (trattamento necessario per l’esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’interessato), il consenso al trattamento dei dati personali presenti nei curricula non è dovuto. Sono innovativi anche i riferimenti al telelavoro, lavoro agile e domestico e al controllo a distanza, in riferimento al quale viene ribadito il divieto di controllo a distanza dei lavoratori previsto dall’art. 4 dello Statuto dei Lavoratori.
-Il Capo IV apporta modifiche alla Parte III del Codice privacy e riguarda principalmente organizzazione, compiti e poteri del Garante, nonché sanzioni e illeciti penali.
Per quanto concerne gli strumenti attraverso cui rivolgersi all’autorità di controllo, si evidenzia che l’art. 13 del decreto 101/2018 ha innovato l’art. 144 del Codice privacy prevedendo adesso che “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento” (GDPR), articolo che elenca tutti i poteri dell’autorità di controllo (in precedenza, solo l’interessato poteva inviare segnalazioni); anche l’art. 141 è stato a modificato dall’art. 13 lettera c) del decreto in commento e, a seguito di tale modifica, adesso recita: “L’interessato può rivolgersi al Garante mediante reclamo ai sensi dell’articolo 77 del Regolamento“. Il reclamo resta l’unico strumento di tutela amministrativa per l’interessato. Non è infatti più possibile presentare il ricorso dinanzi al Garante, come strumento di tutela alternativa a quella giurisdizionale.
La nuova normativa conferisce al Garante compiti e poteri ulteriori, in particolare l’art. 154-ter attribuisce all’autorità la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento, in caso di violazione delle disposizioni in materia di protezione dei dati personali.
L’art. 166 del Codice privacy è completamente novellato dal decreto 101/2018 e definisce in modo dettagliato i criteri di applicazione delle sanzioni amministrative pecuniarie di cui all’art. 83 GDPR, nonché i provvedimenti correttivi di cui all’art. 58 GDPR. Il Garante è l’organo deputato ad irrogare tali sanzioni e adottare tali provvedimenti.
In tema di illeciti penali è stato novellato l’art. 167 del vecchio Codice privacy e sono state aggiunte due nuove fattispecie di reato. È stata ampliata la casistica riconducibile a ipotesi di trattamento illecito di dati personali e previsto che il pubblico ministero informi senza ritardo il Garante, non appena abbia ricevuto la notizia di reato. Inoltre il nocumento, la cui natura giuridica è stata da sempre controversa (la precedente formulazione dell’art. 167 lasciava infatti aperta la strada all’interpretazione del nocumento come condizione obiettiva di punibilità e non di elemento oggettivo del reato), diventa senza dubbio elemento costitutivo del reato, in quanto la condotta si concretizza nell’arrecare nocumento all’interessato: è punito “chiunque, operando in violazione delle disposizioni in materia di protezione dei dati, arreca nocumento all’interessato (…)”.
L’art. 167-bis introduce il reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala.
L’art. 167-ter introduce il reato di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.
-Il Capo V contiene disposizioni processuali e non ha subito sostanziali modifiche.
-Il Capo VI, invece, è del tutto nuovo e contiene disposizioni transitorie e finali (artt. da 18 a 27 del decreto 101/2018).
In particolare, si segnala l’art. 21 in tema di autorizzazioni generali del Garante per la protezione dei dati personali: le autorizzazioni generali relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del GDPR saranno sottoposte a revisione ed approvazione del Garante, qualora siano conformi alla normativa europea. Invece, le autorizzazioni del Garante adottate prima della data di entrata in vigore del decreto 101/2018 e relative a trattamenti diversi da quelli precedentemente elencati cessano di produrre effetti. Discorso diverso per i provvedimenti del Garante antecedenti al 25 maggio 2018 (come, ad esempio, quelli in materia di videosorveglianza, amministratori di sistema, marketing, ecc.): tali provvedimenti continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del nuovo Codice Privacy.
Si segnala ancora l’art. 22, oggetto di anticipate interpretazioni prive di fondamento, secondo cui tale norme avrebbe previsto la sospensione per 8 mesi dell’attività ispettiva del Garante. Nel testo, invece, si legge: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 679/2016, della fase di prima applicazione delle disposizioni sanzionatorie.”
Da ciò si evince, al contrario, che il Garante procederà con l’esercizio dei suoi poteri ispettivi, ma che per i primi otto mesi sarà più “clemente” nell’erogare le sanzioni, valutando vari fattori.
Infine, l’art. 24, sempre con riferimento al regime sanzionatorio, per il principio penalistico del favor rei, prevede che il decreto in esame sostituisce le sanzioni penali previste dal Codice privacy con le sanzioni amministrative previste dal Regolamento europeo, anche riguardo a violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso e sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
Questo è quanto emerge da una prima lettura del decreto. Ovviamente si richiede da parte di tutti gli addetti ai lavori uno studio e un approfondimento costanti, essendo l’applicazione e il consolidarsi della nuova normativa in materia di privacy, sia a livello nazionale che europeo, ancora in fieri.
Rosanna Celella