Il nuovo Codice privacy: cosa cambia con il D. Lgs. 101/2018

Posted on 12 ottobre 2018 by Paola Generali in 2018, News

Il 19 settembre è (finalmente) entrato in vigore il D. Lgs. 101/2018, decreto di adeguamento della normativa italiana al GDPR che va a modificare il vecchio Codice privacy. Prima di dare una rapida introduzione agli aspetti principali di tale decreto, occorre fare due precisazioni:

  1. nonostante le raccomandazioni parlamentari in tal senso, non è stato previsto alcun periodo di applicazione “soft” o “di transizione” delle attività di ispezione e sanzione del Garante (che, per inciso, sarebbe stato illegittimo).
  2. limitandosi a disciplinare gli aspetti non regolati dal Regolamento, la “nuova” 196/2003 non rappresenta più l’intera normativa nazionale in materia di protezione dati, ma diventa accessoria al GDPR.

Le novità più importanti del nuovo Codice Privacy sono le seguenti:

  • Quadro sanzionatorio à il legislatore ha previsto delle sanzioni penali, sia confermando le vecchie fattispecie sia introducendone di nuove:
    • Trattamento illecito di dati (Art. 167) (reclusione da 6 mesi a 3 anni)
    • Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (Art. 167-bis) (reclusione da 1 a 6 anni)
    • Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (Art. 167-ter) (reclusione da 1 a 4 anni)
    • Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (Art. 168) (reclusione da 6 mesi a 3 anni)
    • Inosservanza dei poteri del Garante (Art. 170) (reclusione da 3 mesi a 2 anni)

(N.B. La condanna per uno dei delitti di cui sopra importa anche la pubblicazione automatica della sentenza sul sito del Ministero della Giustizia per una durata di massimo 30 giorni)

  • Ruolo centrale del Garante: è prevista un’ampia possibilità di intervento da parte del Garante, sia con interventi di cd. soft law sia con interventi vincolanti.

Riguardo i poteri di soft law abbiamo:

  • Promozione di regole deontologiche (in ambito sanitario, lavorativo e per trattamenti in ambito di ricerca e archiviazione);
  • Adozione di linee guida (per la semplificazione dell’attuazione dei principi del GDPR nei confronti delle PMI);
  • Prescrizione di misure e accorgimenti a garanzia dell’interessato (nei trattamenti che presentano un rischio elevato per l’esecuzione di un compito di pubblico interesse).

Per quanto riguarda interventi vincolanti, abbiamo da una parte l’irrogazione delle sanzioni amministrative e dall’altra la previsione di misure di garanzia che andranno a regolamentare il  trattamento dei dati genetici,  biometrici e relativi allo stato di salute.

  • Regime transitorio: aspetto sicuramente tra i più controversi, va a regolare dei periodi di (appunto) transizione, prevedendo sia delle norme che, pur risultando abrogate, continuano ad operare temporaneamente, sia norme che regolano l’operatività di provvedimenti del Garante e codici deontologici adottati prima del 25 maggio 2018. Riguardo gli atti e i provvedimenti antecedenti il 25 maggio, in particolare:
    • Provvedimenti del Garante: continuano ad applicarsi in quanto compatibili con il GDPR e il nuovo Codice Privacy;
    • Autorizzazioni generali del Garante: il Garante dovrà pronunciarsi sulla loro compatibilità con il nuovo quadro normativo entro 90 giorni dall’entrata in vigore del lgs. 101/2018;
    • Codici deontologici e di buona condotta (l’Allegato A al Codice privacy) : dipende dal Codice di condotta:
      • Crediti al consumo e informazioni commerciali: rimangono operativi in attesa che vengano adottati i nuovi codici (massimo 1 anno);
      • Tutti gli altri codici: Il Garante dovrà pronunciarsi sulla loro compatibilità con il nuovo quadro normativo entro 90 giorni dall’entrata in vigore del d. lgs. 101/2018;
    • Misure minime di sicurezza : sono state abrogate dal d. lgs. 101/2018, in quanto incompatibili col principio di accountability.

Il regime individuato dal decreto di adeguamento ha creato non poche difficoltà interpretative, accentuate dai testi “coordinati” del D. Lgs. 196/2003 che sono stati diffusi in questi giorni: infatti questi ultimi (anche quello non ufficiale diffuso dallo stesso Garante, https://www.garanteprivacy.it/en/home/docweb/-/docweb-display/docweb/9042678 ), per quanto utili, non contengono le disposizioni transitorie, né indicano gli articoli che, seppur formalmente abrogati, risultano ancora vigenti in attesa degli adempimenti del Garante.

 

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *