Entrerà in vigore il 19 settembre prossimo il decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Pubblicato sulla Gazzetta Ufficiale n.205, questo provvedimento è stato approvato in via definitiva dal Consiglio dei ministri nella seduta del 8 agosto scorso.
Si tratta di uno dei tasselli finora mancanti per dare il via libera definitivo al GDPR, in vigore dallo scorso 25 maggio, per il quale mancava ancora il decreto di adeguamento e i chiarimenti sulle sanzioni applicabili.
La riforma della privacy entrerà in vigore in maniera graduale e per le imprese sarà garantito un periodo transitorio da controlli e ispezioni che dovrebbe durare 8 mesi, senza tuttavia prevedere una completa moratoria. Dal testo appena pubblicato si legge infatti, all’art. 22, comma 13 : “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”
Al fine di semplificare l’applicazione della norma, si è deciso, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di dell’accountability. Si è scelto, quindi, di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Numerose le critiche avanzate al testo del decreto, pervenute da garante europeo, per esempio all’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) “…che richiamando il regolamento europeo di per sé immediatamente operativo, sembrano attribuire al legislatore italiano la scelta di confermare quanto dice il regolamento, fanno irritare l’Europa. Rispetto alle misure di garanzia stabilite, o disposte dal Garante ai sensi dell’articolo 2-septies, sottolinea l’opportunità di evidenziare meglio la loro complementarietà rispetto a quanto previsto dal regolamento europeo, e con riferimento più specifico a particolari settori, non potendo essere le misure eccessivamente “orizzontali”.”,
all’art. 2-duodecies (Diritti riguardanti le persone decedute) [nel D.lgs 101/2018 art. 2-terdecies], ritenendo il Garante Europeo che questa disposizione presenti “una formulazione fragorosamente umoristica, non degna di essere inserita in un decreto legislativo quantomeno nella sua attuale stesura. Mi riferisco con sarcasmo al riferimento alla possibilità di modificare la volontà delle persone decedute, o a quella di esercitarne i diritti”.
all’art. 2-terdecies (Attribuzione di funzioni e compiti a soggetti designati) [nel D.lgs 101/2018 art. 2-quaterdecies], per il quale il garante europeo ritiene che il comma 1 contenga una “specificazione che quasi intenerisce. Il titolare del trattamento è infatti l’organizzazione nel suo complesso, anziché una persona fisica, ed è quindi normale che esistano, in un’organizzazione pubblica o privata, diversi incaricati del trattamento. Si chiede poi quale sia il senso (rispetto al regolamento europeo che investe sull’accountability) del riferimento alle modalità più opportune per autorizzare gli incaricati del trattamento, di cui al comma 2.”.
all’art. 154-ter (Potere di agire e rappresentanza in giudizio) ritiene il Garante Europeo che “la previsione per il Garante di agire in giudizio nei confronti di un titolare o del responsabile del trattamento sia il risultato di un “copia e incolla” del regolamento, non accompagnato da una piena riflessione sulla sua applicazione concreta. La funzione connaturata al Garante non è quella di citare in giudizio i titolari del trattamento, ma, in primis di intervenire per esercitare i suoi poteri, difendersi se i suoi provvedimenti sono impugnati, se vi sono azioni legali di cittadini o di titolari del trattamento che non si sono rivolti al Garante, il quale, in caso di interesse pubblico, il Garante si potrebbe costituire ad adiuvandum. La possibilità che il Garante trascini soggetti in tribunale, pur se prevista dal regolamento, va plasmata in modo da renderla consona al nostro ordinamento. Il sistema inserito nel regolamento proviene dall’ordinamento irlandese, dove fino ad ora l’autorità, avendo le armi spuntate, si è vista costretta a citare in corte i soggetti interessati per far dichiarare l’inosservanza di una disposizione. I poteri del Garante saranno tuttavia più forti, quindi una formulazione diversa può esser fatta.”.
In base al principio penalistico del favor rei, il decreto in esame “sostituisce” le sanzioni penali previste dal Codice privacy con le sanzioni amministrative previste dal Regolamento europeo, anche riguardo a violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso e sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
Il regolamento mira ad aumentare l’attenzione verso i i cyber attacchi a strutture critiche (quali, tra gli altri, gli ospedali) che trattano grandi quantità di dati personali, con l’inserimento degli artt. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) e 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala).
LexOpera assiste le aziende nella gestione degli adempimenti in materia di privacy e protezione dati
scrivi a info@lexopera.it
[Heateor-SC]