la guida

GDPR, da oggi in vigore il decreto legislativo 101/2018. La nuova privacy in chiave europea

di |

Da oggi in vigore il decreto legislativo che adegua la normativa italiana al GDPR. Tredici domande e risposte per Pa, aziende e cittadini.

Da oggi la tutela dei dati personali in Italia è regolata dal GDPR e dal nuovo codice privacy. Quest’ultimo, per essere precisi, è il decreto legislativo n.101 del 10 agosto 2018 che entra in vigore oggi, 19 settembre 2018. Per comprendere, concretamente, l’importanza della norma troveremo il D.lgs. 101/2018, per esempio, negli uffici pubblici, in farmacia, dal medico fino nei curricula (anche se nei CV non è obbligatorio).

Il decreto legislativo, che completa il quadro della nuova privacy in chiave europea, è ricco di disposizioni. Qui sintetizziamo le 13 novità principali.

Sanzioni penali: reclusione da sei mesi fino a sei anni

  1. Trattamento illecito di dati.“Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione del Regolamento arreca un danno all’interessato, è punito con la reclusione da sei mesi fino a un anno e sei mesi. E nei casi più gravi fino a tre anni.
  2. L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scalaè punita con la reclusione da uno a quattro anni.
  3. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scalaè punita con la reclusione da uno a sei anni.
  4.  L’inosservanza dei provvedimenti del Garanteè punita con la reclusione da tre mesi a due anni.

Sanzioni amministrative

Sarà compito del Garante Privacy a scrivere le regole per l’applicazione delle sanzioni amministrative, previste per esempio, si legge nel decreto legislativo, per chi non effettua la valutazione d’impatto sulla protezione dati – la Dpia).

“Per i primi 8 mesi dalla data di entrata in vigore del presente decreto”, si legge nell’articolo 22, comma 13, “il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue, della fase di prima applicazione delle disposizioni sanzionatorie”, ma non significa che non potrà irrogare le sanzioni amministrative che possono essere salatissime.

Sanzioni amministrative di minore e maggiore entità

Le sanzioni amministrative pecuniarie di minore entità possono raggiungere i 10 milioni di euro per i singoli e per le imprese fino al 2% del fatturato globale annuo se superiore e riguardano le violazioni degli obblighi per:

  • Il titolare ed il responsabile del trattamento
  • L’organismo di certificazione.
  • l’organismo di controllo dei codici di condotta.

Le sanzioni amministrative pecuniarie di maggiore entità possono arrivare a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale, che può essere anche fuori dall’Europa. Anche per questo motivo con il Gdpr in vigore Facebook non potrebbe più farla franca di fronte a un nuovo caso Cambridge Analytica. Infatti queste multe scattano, per esempio, per il trasferimento illecito di dati a terzi.

 

Modalità semplificate di adempimento degli obblighi per le Pmi

In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, il Garante Privacy dovrà promuovere modalità semplificate di adempimento degli obblighi del titolare del trattamento.

 

Minori sui social da 14 anni senza l’ok dei genitori

In Italia dal 19 settembre prossimo chi ha 14 anni potrà iscriversi liberamente sui social network e utilizzare i servizi di messaggistica istantanea (WhatsApp, ecc.). Questa è un’altra novità contenuta del testo del decreto di adeguamento al Gdpr. Gli under 14 hanno bisogno del consenso di chi esercita la responsabilità genitoriale.

Ci sono novità a seguito del Decreto Legislativo n. 101 in materia di Informativa Privacy e consenso al trattamento dei dati personali?

Nessuna novità. Per l’Informativa Privacy continuano a valere tutte le regole dettate dagli articoli 13 e 14 del GDPR. Stesso discorso per il consenso al trattamento dei dati personali, ove continuano a valere, come regole generali, quelle previste dall’art. 6, comma 1, lett. a), e dall’art. 7 del GDPR.

 

Dati biometrici

Il decreto dà il via libera al trattamento dei dati genetici, biometrici e relativi alla salute, che dovrà avvenire seguendo le misure di garanzia disposte dal Garante Privacy.

 

Garante Privacy

Il nuovo codice privacy rafforza i poteri e aumenta i compiti del Garante Privacy, per il quale il legislatore ha stabilito per il personale il limite di 162 unità. Novità anche per chi desidera diventare componente dell’Autorità: “Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti devono essere eletti tra coloro che presentano la propria candidatura nell’ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta  giorni prima della nomina e  i  curricula  devono  essere  pubblicati  negli stessi siti internet”.  Infine è cambiata anche la forma di tutela garantita a chi crede di aver subìto una violazione della privacy: non più il ricorso, ma l’interessato può proporre un reclamo al Garante Privacy oppure rivolgersi all’autorità giudiziaria.

 

Dati per la ricerca scientifica e per fini statistici

L’Autorità Garante per la protezione dei dati personali dovrà anche promuovere regole deontologiche per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici che può essere effettuato, ecco la novità introdotta, anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.

Giustizia

Tutti gli organi giudiziari sono obbligati a nominare il Data Protection Officer (Dpo).

I dati dei defunti

I dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

Cosa accade adesso per tutti quei provvedimenti emanati dal Garante per la protezione dei dati personali antecedenti al 25 maggio 2018 (come, ad esempio, quelli in materia di videosorveglianza, amministratori di sistema, marketing, ecc.)?

 

A decorrere dal 25 maggio 2018, tutti i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del nuovo Codice Privacy. Discorso leggermente differente, invece, deve essere fatto per le autorizzazioni generali, per le quali il Garante dovrà pronunciarsi sulla loro compatibilità con il nuovo impianto normativo – ed eventualmente aggiornarle – entro 90 giorni dalla data di entrata in vigore del Decreto Legislativo 101.

Procedimenti pendenti

Il decreto legislativo consente la definizione agevolata dei procedimenti pendenti relativi a violazioni amministrative del ‘vecchio’ codice Privacy, con il pagamento di una favorevole oblazione. Ci sono 90 giorni per pagare la sanzione ridotta per le contestazioni pendenti. Si può regolare il conto versando i 2/5 del minino edittale. La scadenza per il pagamento dell’importo è fissata al novantesimo giorno dall’entrata in vigore del decreto legislativo 101/2018, quindi a decorrere da oggi.

Per approfondire:

Leggi le altre notizie sull’home page di Key4biz