Il Blog di Know How

Pubblicato in Gazzetta Ufficiale il Decreto attuativo che adegua il vecchio Codice della privacy al nuovo regolamento europeo GDPR. Efficacia immediata, senza periodi transitori, a partire dal 19 settembre. Confermate le pesanti sanzioni amministrative e penali in caso di violazioni.

È stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 101/2018, che adegua il vecchio Codice della privacy 196/2003 al nuovo Regolamento GDPR, attuato a livello europeo il 25 maggio scorso. L'intera normativa italiana, quindi, sarà interpretata e applicata secondo le nuove disposizioni europee: l'efficacia del decreto è partita già da ieri, 19 settembre.

Leggi anche >>> SISTEMI DI VIDEOSORVEGLIANZA NEI CONDOMINI: A COSA FARE ATTENZIONE

Cosa prevede il GDPR Privacy?

Il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (anche detto GDPR) prevede le seguenti attività:

• Analizzare la tipologia dei dati personali trattati nella propria realtà aziendale o professionale;
• verificare che il trattamento sia fondato sui principi di liceità, correttezza, trasparenza, che i dati raccolti siano esclusivamente  quelli strettamente necessari, pertinenti ed adeguati a svolgere le finalità per cui sono stati richiesti e che siano state adottate le misure necessarie per aggiornarli, rettificarli, cancellarli e soprattutto per proteggerli.
• informare per iscritto l'Interessato (titolare dei dati trattati) circa l'identità di chi effettua il trattamento (fornendo relativi dati di contatto), le finalità e la base giuridica del trattamento, sulla obbligatorietà o meno del trattamento, su eventuali destinatari dei dati, il periodo di conservazione, i diritti a lui riconosciuti (accesso, rettifica, cancellazione, ecc.), ecc;
• acquisire il consenso al trattamento dei dati (nei casi in cui non sia previsto l'esonero);
• individuare un Organigramma interno dei soggetti coinvolti nel trattamento, identificando il Titolare del trattamento (colui che determina le modalità di trattamento dei dati personali e degli strumenti da utilizzare), il Responsabile del trattamento (il soggetto a cui è affidata la realizzazione pratica di quanto stabilito dal Titolare), l'Incaricato al trattamento (il collaboratore o dipendente autorizzato dal Titolare al trattamento dei dati), il Responsabile della Protezione dei Dati (figura eventuale che ha il compito di verificare la corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza, ecc).
• istituire un Registro dei trattamenti (eventuale) in cui refertare periodicamente le attività poste in essere per adempiere alla normativa;
• definire politiche di sicurezza e valutazione dei rischi al fine di prevenire il cosiddetto data breach, ossia la distruzione, perdita, modifica, divulgazione non autorizzata dei dati personali o una violazione del sistema di privacy posto in essere;
• comunicare l'eventuale violazione dei dati personali all'autorità di controllo (Garante) entro 72 ore dal momento in cui se ne viene a conoscenza.

Leggi anche >>> Il framework nazionale per la cyber sicurezza delle aziende

Cosa prevede il Decreto attuativo italiano?

Il Decreto Attuativo italiano introduce e specifica alcuni aspetti fondamentali concernenti la materia della protezione del dato personale, integrando e ordinando le disposizioni già presenti e contenuti nel Codice della Privacy 196/2003.

Gli aspetti principali della normativa sono i seguenti:

• Reati in tema privacy: il decreto attuativo individua quattro figure di reato in tema privacy:

1. Trattamento illecito di dati;
2. Comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala;
3. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
4. Falsità di dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante e inosservanza dei provvedimenti del Garante.

• Curriculum vitae: in caso di invio spontaneo da parte del candidato, viene stabilito che il datore di lavoro è tenuto a fornire l'informativa a quest'ultimo a partire dal primo contatto utile. Salvo deroghe di legge, per il trattamento di tali dati non è necessario il consenso espresso dell'interessato.
• Dati sulla salute, genetici e biometrici: il Garante della privacy è tenuto ad adottare, almeno ogni due anni, un provvedimento contenente misure di garanzie atte a preservare l'integrità e la veridicità del dato.
• Semplificazioni per le micro, piccole e medie imprese: Il Garante per la protezione dei dati personali avrà il potere di promuovere e introdurre delle modalità semplificate di adempimento degli obblighi di trattamento in considerazione alle esigenze delle micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.
• Servizi delle società dell'informazione (social media): l'età del consenso viene abbassata da 16 a 14 anni. Per i minori di 14 anni sarà invece necessario il consenso dei genitori o del tutore.
• Persone decedute: i dati delle persone decedute continuano ad essere tutelati dal GDPR e il sistema sanzionatorio resta in vigore.

Il legislatore ha previsto ed aggiornato le sanzioni penali per le violazioni della normativa sulla privacy. Confermate le pesanti sanzioni amministrative previste dal Regolamento UE 2016/679 (fino a 10-20 milioni di euro ed il 2%-4% del fatturato). Non è prevista nessuna proroga delle applicazioni delle sanzioni; è stato però fissato un periodo transitorio di otto mesi, quindi fino a maggio 2019, entro cui il Garante dovrà tenere particolare conto dello stato di fatto al fine della decisione relativa all'erogazione e alla quantificazione delle sanzioni amministrative.

Leggi anche >>> WEB SCRAPING E PRIVACY: DUE DIVERSE SENTENZE PER FARE CHIAREZZA

Hai altro da chiedere?

Se desideri altre informazioni o un chiarimento sull'argomento di questo articolo, clicca su FAI LA TUA DOMANDA per inviare un tuo quesito. Non è richiesta alcuna registrazione. Riceverai la tua risposta, personalizzata, direttamente nella casella di posta.