Privacy: il D.Lgs 101/2018
Abbiamo già avuto modo di approfondire il GDPR Privacy con alcuni articoli:
Nel seguito sono riprese e approfondite alcune delle novità già esaminate con un articolo di agosto 2018 (GDPR Privacy – Adeguamento).
Si ricorda che il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale (n. 205) il D.Lgs del 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Il decreto, in vigore il 19 settembre 2018, adegua l’ordinamento italiano alle disposizioni del Regolamento UE modificando il cosiddetto Codice Privacy, ossia il D.Lgs 196/2003 del 30 giugno (“Codice in materia di protezione dei dati personali”), abrogandone varie parti e modificandone altre. Ecco perché ora, di fatto, conviene parlare di NORMATIVA PRIVACY, intendendo l’insieme di Regolamento e Codice Privacy aggiornato.
Le novità
Anche in considerazione della complessità e dell’articolazione del testo normativo, nel seguito sono riportate solo alcune delle principali novità che introduce il D.Lgs 101/2018:
- CONSENSO DEL MINORE – ETA’ MINIMA: può esprimere il consenso al trattamento dei propri dati personali il minore che ha compiuto 14 anni; il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito solo se prestato da chi esercita la responsabilità genitoriale (es. dati trattati da società di servizi dell’informazione);
- MINORI – ATTENZIONE AL LINGUAGGIO: in relazione all’offerta diretta ai minori di servizi, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso;
- INTRESSE PUBBLICO – Modalità particolari (qui non approfondite) sono previste per il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante;
- DATI PERSONALI DI UNA PERSONA DECEDUTA: i diritti riferiti ai dati personali di una persona deceduta possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, salvo il caso in cui l’interessato abbia espresso in modo scritto, chiaro ed inequivocabile il suo divieto al trattamento dei dati personali, quei diritti non possono essere esercitati;
- CURRICULUM VITAE: non serve fornire il consenso al trattamento dei propri dati personali all’interno dei CV spontaneamente trasmessi, l’informativa e richiesta di consenso devono essere fornite da parte dell’Azienda al “primo contatto utile” successivo all’invio del Curriculum;
- SEMPLIFICAZIONI PER LE PICCOLE/MEDIE IMPRESE: tenendo conto delle esigenze di semplificazione delle PMI, il decreto prevede una indicazione per il Garante a fornire linee guida di applicazione semplificata;
- SANZIONI: oltre alle severe sanzioni amministrative già previste dal GDPR, dal Codice Privacy aggiornato sono previste anche sanzioni penali nel caso di:
– trattamento illecito dei dati personali;
– acquisizione fraudolenta dei dati personali;
– comunicazione e diffusione illecita dei dati personali;
– false dichiarazioni rese al Garante;
– inosservanza dei provvedimenti del Garante.
Per i primi otto mesi dall’entrata in vigore del nuovo decreto, è richiesto al Garante della privacy di tenere conto, per l’applicazione delle sanzioni amministrative, della fase di prima applicazione delle disposizioni sanzionatorie.
[a cura di: Dott.ssa Elisa Uggeri – Dott. Matteo Melli – Syrios Srl]