In vigore da oggi il decreto legislativo 101/2018, che riscrive parte del vecchio 196/2003 alla luce del GDPR. Ecco che cosa cambia in materia di protezione dei dati personali.
Privacy, si cambia ancora. O meglio: si entra pienamente nell’era del GDPR. È questo il senso del decreto legislativo 101/2018, che entra in vigore oggi e che abroga o modifica parte del precedente riferimento normativo, il decreto legislativo 196 del 2003. Da oggi tutta la disciplina italiana, sia il nuovo decreto sia le parti del “vecchio” che restano in vigore, dovrà essere interpretata alla luce del GDPR. Il regolamento europeo in materia di protezione dei dati personali diventa quindi la fonte del diritto per tutte le norme nazionali.
Il Parlamento aveva raccomandato un’entrata in vigore soft della nuova disciplina, ma il decreto legislativo 101/2018 non ha accolto tale raccomandazione, anche perché in contrasto con il GDPR. Quindi la nuova norma entra oggi in vigore in ogni sua parte. Certamente il decreto legislativo 101/2018 prevede una fase transitoria per quanto riguarda le sanzioni per violazioni verificatesi prima del 25 maggio scorso (data di entrata in vigore del GDPR) e la trattazione di affari pregressi, di cui all’articolo 19. Ma per il resto non vi sono eccezioni.
Un sistema a due livelli
In sostanza con il decreto legislativo 101/2018 completa il percorso di armonizzazione che porta a un sistema normativo a due livelli in materia di trattamento dei dati personali.
Il primo livello è quello europeo, ed è costituito dal GDPR. Il regolamento europeo entrato in vigore pochi mesi va è la norma di fonte superiore, cui la disciplina nazionale deve allinearsi in base al principio della gerarchia delle fonti del diritto.
Il secondo livello è rappresentato dal codice per la protezione dei dati personali (codice della privacy), emanato con il decreto legislativo 196 del 2003 e variamente modificato con il 101/2018 entrato in vigore oggi. Il codice della privacy riunisce la normativa vigente in materia accumulatosi dal 1996 e la adegua alle disposizioni del GDPR.
Consenso, finalità del trattamento, sanzioni: tante le novità
Il decreto legislativo 101/2018 (il testo integrale è qui) introduce diverse novità significative. Ecco, in sintesi, che cosa cambia da questa mattina in materia di trattamento dei dati personali.
Innanzi tutto il decreto fornisce, per ciascuna tipologia di dati (sensibili, biometrici, genetici e relativi alla salute), un elenco delle finalità di interesse pubblico. Si tratta delle finalità che rendono legittimo il trattamento. Il 101/2018 stabilisce inoltre che, in ambito sanitario, il consenso non è più la base giuridica del trattamento. Viene anche sancito che la forma di tutela per gli interessati è il reclamo e non più il ricorso.
Viene poi rafforzato il divieto di pubblicazione dei dati dei minori, mentre l’età minima richiesta per esprimere il consenso al trattamento dei dati personali è fissata a 14 anni. Al di sotto di tale limite minimo di età, il consenso deve essere prestato da chi esercita la responsabilità genitoriale.
Nel caso di diritti relativi ai dati delle persone decedute, invece, il 101/2018 sancisce che tali diritti possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.
Importante è anche la sanzione generale della inutilizzabilità dei dati. Essa si applica in tutti i casi in cui il trattamento avviene in violazione della disciplina sulla protezione dei dati, con una sola eccezione: l’utilizzo dei dati in sede giudiziale.
Non meno importante è il concetto di soggetto designato. Si tratta della figura che all’interno di un’organizzazione può operare per specifici compiti in relazione al trattamento dei dati personali, sotto l’autorità del titolare del trattamento.
Novi compiti per il Garante
Ovviamente il nuovo decreto si occupa anche dei poteri e dei compiti del Garante per la privacy. Questi sono aggiornati nell’ottica di armonizzarli a quanto previsto dal GDPR. Inoltre il 101/2018 stabilisce che i componenti dell’Authority debbano essere nominati dal Parlamento, attraverso una specifica procedura selettiva.
Al Garante il decreto richiede anche di promuovere una modalità semplificata di trattamento degli obblighi del titolare. Questo con l’obiettivo di andare incontro alle esigenze di semplificazione delle piccole e medie imprese italiane. Sarà quindi interessante capire in che modo il Garante interpreterà questo mandato e quali procedure specifiche definirà.
Un punto importante riguarda la regolamentazione dei controlli a distanza nei luoghi di lavoro. In merito il nuovo decreto rimanda alla disciplina dello Statuto dei Lavoratori, modificata nel 2015 dal Jobs Act. Si conferma anche la sanzione penale per i casi di violazione di questa disciplina, come già previsto dall’articolo 38 della legge 300/1970.
Vi sono infine due punti della nuova norma molto interessanti per i giovani in cerca di lavoro e per le aziende che assumono. Il primo punto riguarda la possibilità di comunicare i dati degli studenti universitari, proprio per favorirne l’accesso al mondo del lavoro. Il secondo si riferisce a coloro che inviano il proprio CV in modo spontaneo. Il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto. Quindi non sarà più necessario inviare ad essi l’informativa solitamente prevista. Il consenso va fornito al momento del “primo contatto utile”, successivo all’invio del curriculum.