Cari amici, oggi ritorniamo sul delicato tema del "trattamento dei dati personali e tutela della privacy" già affrontato nel mese di maggio, data in cui è entrato in vigore il Regolamento Europeo (GDPR 679/2016). Tale regolamento, come molti di voi ricorderanno, lasciava molti dubbi e trattava in maniera molto generica alcuni aspetti fondamentali. Era, infatti, necessario recepirlo formalmente a livello nazionale!!!

Il 4 settembre 2018, quindi, è stato pubblicato nella Gazzetta Ufficiale n. 205 del il D.Lgs. n. 101 del 10 agosto 2018 con le disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Vediamo quali sono i punti salienti della normativa in oggetto

Innanzitutto, va precisato che il d.lgs. n. 101/2018 ha abrogato le disposizioni del d.lgs. n.196/2003 non più compatibili con il GDPR ed ha introdotto nuove disposizioni, integrando e modificando le disposizioni che rimangono in vita. Tale decreto è stato emanato nel rispetto di quanto sancito dall’art. 13 della legge n. 163/2017 che contiene una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR.

Analizzando il testo legislativo si comprende come si sia scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.

Molte disposizioni del previgente codice non sono state espressamente richiamate, perché assorbite dalle norme del regolamento europeo. Fra queste, per esempio, quelle che consentono di trattare i dati senza consenso per la finalità dell’esercizio del diritto di difesa. Il trattamento di questi dati, così come il trattamento dei dati provenienti da registri pubblici, o la comunicazione dei dati infragruppo, rientra certamente nei presupposti di legittimità del trattamento previsti dall’articolo 6 del regolamento e in particolare nell’esercizio del “legittimo interesse” cui il regolamento accorda ampio spazio.

Il quadro sanzionatorio prevede delle novità in quanto accanto alla depenalizzazione di figure di reato ormai superate (v. art. 169) sono state previste nuove fattispecie di reato.

Nel complesso il decreto è suddiviso in sei Capi e si compone di 27 articoli, dedicati a specifici aspetti della materia.

Di seguito alcuni punti rilevanti del D.lgs 101/2018

1. Base giuridica per l'esecuzione di compiti di interesse pubblico o connessi all'esercizio di pubblici poteri

L’art. 2 del provvedimento introduce l'articolo 2-ter del codice il quale specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. L'articolo si presenta come una riformulazione del previgente articolo 19 del Codice, il cui ambito di applicazione soggettivo viene, però, esteso al fine di adeguarsi all'impostazione adottata dal Regolamento. Nel Regolamento, infatti – come può leggersi nella relazione - scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità del trattamento perseguita, vale a dire se la finalità concerne un interesse pubblico o privato. L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e, Reg).

2. Il consenso del minore

Viene introdotto anche l’articolo 2-quinquies del codice in materia di protezione dei dati personali il quale stabilisce che in attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, naturalmente il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.

3.Individuazione degli interessi pubblici

In relazione al trattamento di particolari categorie di dati viene stabilito l'obbligo di previsione normativa ed è individuato un elenco di trattamenti che si considerano effettuati per "motivi di interesse pubblico rilevante" (art. 2-sexies in relazione all'art. 9 del Regolamento concernente i dati che il Codice previgente definiva "dati sensibili"). Il regime normativo per tali trattamenti è sostanzialmente rimasto inalterato rispetto a quello previsto dal Codice per i trattamenti effettuati da soggetti pubblici (art. 20) e, in particolare, l'elenco predetto è tratto dalle diverse disposizioni del Codice riferite ai trattamenti effettuati per finalità di rilevante interesse pubblico (ad es. artt. 64-73, che il decreto abroga). Ovviamente, mutato il criterio per delimitare l'ambito applicativo di tale regime, le disposizioni in parola riguardano i trattamenti effettuati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla natura soggettiva del titolare del trattamento.

4. Misure di garanzia per i dati genetici, biometrici e relativi alla salute

Con riferimento ai dati genetici, biometrici e relativi alla salute, inoltre, oggetto di specifica "riserva" della normativa nazionale (cfr. art. 9, par. 4, Reg.), viene previsto che il relativo trattamento è subordinato anche al rispetto di misure di garanzia disposte dal Garante (art. 2-septies del codice) con provvedimento adottato con cadenza almeno biennale. In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.

5. Trattamento dati concernenti condanne penali e reati

Anche il trattamento di dati concernenti condanne penali e reati (che trovano nei "dati giudiziari" del Codice il loro "antecedente") è consentito nei limiti di quanto previsto da norme di legge o di regolamento (art. 2-octies; cfr. già art. 21, d. lgs. n. 196/2003), salvo, ovviamente, quanto stabilito dal d.lgs. n. 51 del 18 maggio 2018 che ha recepito in Italia la direttiva UE 2016/680.

6. Salvaguardia dei codici di deontologia e buona condotta

Il d.lgs. n. 101/2018 introduce anche l'articolo 2-decies che conferma l'inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (cfr art. 12, comma 2, d. lgs. 196/2003), come pure nell'articolo 2-quater è fatta salva l'adozione di "regole deontologiche" negli ambiti in cui il Regolamento riserva la materia agli Stati membri: a) (trattamenti necessari per adempiere un obbligo legale; b) trattamenti necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri; c) trattamento di dati genetici, biometrici o relativi alla salute; d) talune specifiche situazioni di trattamento di cui al Capo IX). Tale disposizione trova la propria ratio nella scelta di conservare le regole stabilite nei "Codici di deontologia e di buona condotta", previsti all'articolo 12 del previgente Codice che sino ad oggi hanno costituito una rilevante fonte di riferimento per i settori a cui sono diretti; ciò, però, solo nelle materie oggetto di "riserva" normativa interna agli Stati membri (art. 6, par. 2, Reg.).

7. Limitazione dei diritti degli interessati

Gli artt. 2-undecies e 2-duodecies del d.lgs. 196/2003 introdotti dal d.lgs. n. 101/2018 concernente i diritti garantiti all'interessato, sulla falsariga di quanto previsto dall'articolo 8 del Codice previgente, contiene ipotesi di limitazione degli stessi in caso di concreto pregiudizio per altri interessi normativamente tutelati (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d'inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura).

8. Trattamento dati di persone decedute

Alcuni aspetti innovativi presenta, invece, rispetto alla disposizione del Codice previgente (art. 9, comma 3), il nuovo articolo 2-terdecies, concernente il trattamento relativo ai dati di persone decedute, che attribuisce l'esercizio dei diritti dell'interessato a chi abbia un interesse proprio o agisca a tutela dell'interessato o per particolari ragioni familiari, ma anche al mandatario.

9.Previsione di figure intermedie operanti sotto l’autorità del titolare o responsabile

Molto importante è l’art. 2-quaterdecies del codice introdotto sempre dall’art. 2 del d.lgs. n. 101/2018 che reca una serie di disposizioni volte a precisare taluni poteri e obblighi in capo al titolare e al responsabile, tra cui la possibilità di delegare compiti e funzioni a persone fisiche operanti sotto la loro autorità e responsabilità. Tale disposizione assume una particolare rilevanza in quanto risolve in parte le diverse problematiche sorte a seguito di quanto stabilito dall’art. 28 del GDPR che concepisce il solo responsabile esterno del trattamento. Viene poi precisato che il titolare il quale intenda effettuare un trattamento connesso all'esecuzione di un compito di pubblico interesse che presenta rischi particolarmente elevati, deve obbligatoriamente chiedere la previa autorizzazione del Garante (cfr. art. 36, comma 5, Reg).

Consulta subito gratuitamente alcuni documenti della soluzione digitale In Pratica GDPR: - la guida su La trasparenza e l'informativa sul trattamento dei dati - la check list da utilizzare per identificare correttamente il contenuto delle informazioni da inserire nell'informativa da fornire agli interessati - la formula per la Nomina addetto comunicazione (Data breach)

10. Consenso degli interessati in materia sanitaria

Nella Parte II del Codice, su cui interviene il Capo III e gli articoli da 3 a 12 del decreto, viene invece mantenuta inalterata la numerazione degli articoli. Molti articoli vengono modificati, oltre ad alcune rubriche anche di Titoli o Capi, altri sono abrogati (ad esempio quelli relativi ai trattamenti effettuati per ragioni di giustizia o da Forze di polizia per finalità di prevenzione e repressione di reati –artt. 46-49 e 53-57- che hanno trovato la loro corretta "collocazione", ratione materiae e con i dovuti adeguamenti, nel decreto legislativo di attuazione della direttiva UE 2016/680). Di particolare rilevanza è quanto sancito in materia sanitaria dove ormai anche a seguito della nuova formulazione dell’art. 75 del d.lgs. n. 196/2003 è chiarito chenon occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura (art. 2-septies del Codice Privacy emendato) anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante con cadenza biennale. L’obbligo di informativa al paziente continua ad essere reso in area sanitaria con modalità semplificate (art. 78 e 79 del Codice Privacy emendato). Lo stesso consenso dell’interessato, nella nuova formulazione dell’art. 110 del codice per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando, tra l’altro, la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del GDPR.

11. Nuove sanzioni penali

Analoga impostazione per la Parte III del Codice cui si riferisce il Capo IV del d.lgs. n. 101/2018 (artt. 13-17), concernente la struttura organizzativa e le funzioni del Garante, le forme di tutela degli interessati e il quadro sanzionatorio (artt. da 140-bis, di nuova introduzione, a 172 del Codice).

Per quanto riguarda quest’ultimo, nella sistematica delle sanzioni penali rinvenibili nel codice in materia di protezione dei dati personali si è ritenuto opportuno proporre l’opzione volta a depenalizzare la fattispecie di cui all’art. 169 del Codice (Misure di sicurezza).

12. Caratteristiche del reclamo

Avuto poi riferimento alle forme di tutela dinanzi al Garante il d.lgs. n. 101/2018 dedica una particolare attenzione alla disciplina del reclamo che presenta molte affinità con il ricorso del codice previgente. In realtà viene precisato nell’art. 142 rinnovellato che il procedimento relativo all’esame dei reclami sarà disciplinato dal garante con un proprio regolamento, anche se le tempistiche sono sicuramente più lunghe visto che il nuovo art. 143 del codice precisa, al 3° comma, che il Garante decide il reclamo entro nove mesi dalla presentazione.

16.Disciplina semplificata per piccole e medie imprese

Il Garante ha il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy emendato).

17.Particolare riguardo per i primi 8 mesi dalla data di entrata in vigore del decreto nell’applicazione delle sanzioni

L’applicazione delle sanzioni dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del decreto, della fase di prima applicazione delle sanzioni stesse (art 22, comma 13, del Decreto di adeguamento). Quindi le ispezioni ci saranno ma terranno conto di tutti gli strumenti che gli ispettori hanno a loro disposizione e non solo delle sanzioni.

Insomma, a quanto pare non abbiamo più scusanti. Imprenditori, professionisti e chiunque abbia la necessità di acquisire e trattare dati personali deve assolutamente adeguarsi alle nuove disposizioni normative in materia di Privacy.

Per saperne di più

Associazione Studio Legale nel Sociale

Via Foria 130 - Napoli

studiolegalenelsociale@gmail.com