Codice Privacy - La normativa si adegua al GDPR

Il Decreto di adeguamento della normativa nazionale alle disposizioni europee (D.lg. n. 101/2018), è in vigore dal 19 settembre 2018.

Tale Decreto ha abrogato le disposizioni del Codice Privacy in contrasto con il GDPR e ne ha, altresì, mantenute e modificate altre. Scopriamo insieme tutti i dettagli!

Negli scorsi mesi abbiamo già parlato dei metodi di applicazione del GDPR:

le imprese potranno applicare le disposizioni del GDPR gradualmente, fino al 18 maggio 2019;
le micro, piccole e medie imprese avranno invece modalità semplificate per adempiere agli obblighi previsti.

Per maggiori dettagli, leggi > Privacy in Italia: siamo ufficialmente in linea con il nuovo regolamento europeo

Vediamo invece insieme alcune novità introdotte o aggiornate dal Decreto Legislativo n.101/2018 per l’adeguamento della normativa italiana al GDPR, in merito a:

trattamento dei dati personali,
titolare e/o responsabile del trattamento dei dati,
comunicazioni elettroniche,
sanzioni amministrative e penali,
disciplina transitoria.

Trattamento dei dati personali

Le novità introdotte dal decreto in merito al trattamento dei dati personali riguardano:

I minori
È stata fissata come età minima per prestare un valido consenso al trattamento dei dati quella di 14 anni, solo ed esclusivamente in ambito di servizi dell’informazione. Il trattamento dei dati in altri ambiti deve invece essere sempre prestato dai titolari della potestà genitoriale fino alla maggiore età.
Dati personali comuni per compiti pubblici o per l’esercizio di pubblici poteri
Il trattamento può essere effettuato solamente sulla base di una disposizione di legge nazionale o europea.
Categorie particolari di dati (ovvero i “vecchi” dati sensibili oltre quelli genetici e biometrici)
Nel caso di interesse pubblico rilevante possono essere trattati solo ai sensi del diritto europeo o nazionale, ad esempio relativamente alle seguenti materie:
- accesso a documenti amministrativi;
- tenuta di atti e registri pubblici;
  cittadinanza, immigrazione, asilo, stato di rifugiato;
- concessione, liquidazioni e modifica di benefici economici, agevolazioni, elargizioni;
- rapporti tra soggetti pubblici ed enti del terzo settore;
- tutela dei minori;
- attività amministrative e certificatorie correlate a diagnosi, assistenza o terapia sanitaria o sociale;
- compiti del servizio sanitario nazionale;
- farmaco-vigilanza;
- istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
- instaurazione, gestione ed estinzione di rapporti di lavoro e di altre forme di impiego, materia sindacale, previdenza e assistenza;
- (…) (art. 2-sexies d.lgs. n. 101/2018).
Dati genetici, biometrici e relativi alla salute
Le misure di garanzia relative al trattamento verranno stabilite dal Garante con provvedimento da sottoporre a consultazione pubblica.
L’uso di dati biometrici è ammesso con riguardo alle procedure di accesso fisico e logico ai dati da parte di persone autorizzate, sempre nel rispetto dei principi di protezione dati personali.

Il decreto introduce altresì delle limitazioni all’esercizio dei diritti (di cui agli artt. 15 e ss. GDPR), qualora da tale esercizio derivi un pregiudizio nei confronti di:

interessati tutelati da disposizioni antiriciclaggio;
interessati tutelati da disposizione in materia di sostegno alle vittime di richieste estorsive;
attività delle Commissioni parlamentari di inchiesta;
attività svolte da soggetti pubblici per finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari;
attività investigative difensive o all’esercizio di un diritto in sede giudiziaria;
dipendenti coperti dalle disposizioni in materia di whistleblowing.

In caso invece di dati personali concernenti persone decedute, i diritti ex artt. 15 e ss. del GDPR possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato in qualità di mandatario o per ragioni familiari meritevoli di protezione.

Titolari e Responsabili del trattamento

Per quanto riguarda il titolare e il responsabile del trattamento dati, l’art. 2-quaterdecies del decreto stabilisce che essi possano prevedere che specifici compiti e funzioni connessi al loro ruolo vengano attribuite a persone fisiche espressamente designate, affinché operino sotto la loro autorità.

Enti accreditatori

L’ente accreditatore degli organismi di certificazione è l’ente unico nazionale di accreditamento, Accredia. Per il momento, non sono ancora state pubblicate linee guida di certificazione ai sensi dell’art. 42 GDPR.

Comunicazioni elettroniche

Il Titolo X del Codice Privacy, relativo alle comunicazioni elettroniche, non è stato sostanzialmente modificato perché:

La modifica di questa parte del testo non era oggetto specifico della legge delega con cui il governo ha recepito la nuova normativa in materia di privacy.
Si è in attesa del nuovo Regolamento Europeo e-privacy (ancora in fase di approvazione), che andrebbe ad incidere direttamente sulle disposizioni vigenti del Codice.
È stata richiamata e mantenuta la norma che istituisce il registro pubblico delle opposizioni, ma si è in attesa del provvedimento congiunto del Garante e dell’Autorità per le garanzie nelle comunicazioni, che andrà a disciplinare le modalità di inserimento e di successivo utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico.

Sanzioni amministrative e penali

In tema di sanzioni amministrative, il decreto accoglie le richieste del sistema Confindustria volte a:

Rafforzare le garanzie procedimentali davanti al Garante
Il decreto prevede che il procedimento contenzioso davanti all’Autorità debba svolgersi nel rispetto dei principi e della piena conoscenza di: atti istruttori, contraddittorio, verbalizzazione e della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione della sanzione (nuovo art. 166 c. 9. del Codice privacy).
Precisare il meccanismo che consente al sanzionato di definire la controversia
Il sistema secondo il quale il sanzionato paga la metà dell’importo irrogato, adeguandosi alle prescrizioni dalla stessa dettate, troverà applicazione anche qualora il provvedimento sanzionatorio non sia accompagnato da misure prescrittive del Garante Privacy (nuovo art. 166 c. 8).

In ambito penale, il Decreto ha introdotto e aggiornato il reato di comunicazione e diffusione illecita di dati (nuovo art. 167-bis del Codice privacy) e il reato di acquisizione fraudolenta di dati personali (nuovo art. 167-ter del Codice privacy), sostituendo in entrambe il generico concetto di “rilevante” numero di persone, previsto dall’originaria versione del Decreto, con quello di trattamento su larga scala.

Disciplina transitoria

Autorizzazioni generali relative a trattamenti per obblighi legali, di interesse pubblico o di particolari categorie di dati

Il Decreto prevede che, entro il 17 dicembre 2018, il Garante Privacy ponga in consultazione un provvedimento di riordino delle autorizzazioni generali relative ai trattamenti:

necessari all’adempimento di un obbligo legale,
necessari all’esecuzione di un compito di interesse pubblico,
o di particolari categorie di dati,

al fine di individuare quelle compatibili con le disposizioni del GDPR.
Le autorizzazioni relative a trattamenti diversi cessano di produrre effetti al 19 settembre 2018 (art. 21 del D.Lgs).

Procedimenti sanzionatori e affari pendenti al 25 maggio 2018

Il Decreto regola i casi di procedimenti sanzionatori pendenti alla data di applicazione del GDPR (25 maggio 2018), con le seguenti scadenze:

Entro il 18 dicembre 2018 è consentito un pagamento in misura ridotta di una somma pari a ⅖ del minimo edittale.
Decorso tale termine, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione immediata assumono valore di ordinanza-ingiunzione e il contravventore è tenuto a pagare la sanzione entro il 16 febbraio 2019.
Entro il 16 febbraio 2019, il contravventore può in ogni caso presentare memorie difensive. Dopo averle esaminate, il Garante privacy può disporre l’archiviazione o adottare specifica ordinanza-ingiunzione (art. 18 del D.Lgs).

Il Decreto regola altresì gli affari pendenti, prevedendo che i soggetti interessati possano presentare al Garante Privacy:

una richiesta di trattazione dei reclami,
delle segnalazioni e delle richieste di verifica preliminare pendenti, previa improcedibilità degli stessi.

Tali richieste vanno presentate entro i 60 giorni successivi al 4 ottobre 2018 (art. 19 del D.Lgs).

Resta sempre aggiornato sulla normativa italiana! Vai sulla homepage del nostro sito e iscriviti alla newsletter di Spazio88.

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Blog