Il DLgs 10 agosto 2018 n. 101 è stato pubblicato sulla Gazzetta Ufficiale n. 105 del 5 settembre 2018.
Si conclude così l’iter di adeguamento della normativa italiana al Regolamento Europeo 679/2016, noto come GDPR, con norme che entrano in vigore il 19 settembre 2018.
Il legislatore ha dovuto tener conto della precedente disciplina in materia di trattamento dei dati personali, il DLgs. 196/2003, e ha considerato di abrogare tutte le norme in esso contenute che fossero incompatibili con il Regolamento Europeo. È intervenuto nelle questioni che il GDPR ha lasciato da gestire ai singoli Stati membri e ha ribadito le norme contenute nel Regolamento. Al momento, dunque, coesistono due fonti normative relative alla privacy: il DLgs. 101/2018 e il Regolamento Europeo.
Nessuna moratoria sulle sanzioni pecuniarie
Si era parlato della probabile sospensione delle sanzioni economiche per i primi 8 mesi di entrata in vigore della nuova normativa. In realtà, per i prossimi 8 mesi il Garante della protezione dei dati personali dovrà, in sede di verifica dell’adempimento degli obblighi, tener conto delle difficoltà riscontrate dalle aziende o dagli imprenditori nell’adeguamento alle disposizioni contenute nel GDPR. Quindi, non si tratta di una sospensione delle sanzioni amministrative quanto piuttosto della facoltà per il Garante della privacy di optare anche per un diverso tipo di provvedimento.
Autorizzazione al trattamento da parte dei minori
Nel DLgs. 101/2018 l’età minima per esprimere il consenso informato al trattamento dei propri dati è stata abbassata a 14 anni rispetto ai 16 anni previsti dal Regolamento Europeo. Il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito solo nel caso in cui sia prestato da chi esercita la responsabilità genitoriale. Un’accortezza in più dev’essere prevista dal Titolare del trattamento anche nel linguaggio che viene utilizzato per informare il minore. La normativa italiana, coerente con il disposto europeo infatti, richiede che le informazioni e le comunicazioni relative al trattamento dei dati del minore siano chiare, semplici, concise, esaustive, facilmente accessibili e comprensibili.
Adempimenti privacy per le PMI
Il Decreto Legislativo evidenzia con chiarezza l’esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese. Il Garante per la protezione dei dati personali dovrà quindi adottare delle linee guida di indirizzo – entro dicembre del corrente anno – riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR per il settore delle PMI, individuando modalità semplificate di adempimento degli obblighi del Titolare del Trattamento. Ciò non esclude tuttavia che le PMI debbano comunque adeguarsi alla nuova normativa vigente sin dal 25/05/2018.
Sanzioni penali per il Titolare del trattamento
Il Decreto Legislativo n. 101/2018, all’articolo 167 e seguenti, prevede alcuni illeciti penali, che si configurano soltanto nel caso in cui la condotta del Titolare del Trattamento (cioè colui che tratta i dati ricevuti) sia finalizzata a trarre per sé o per altri profitto, o per arrecare danno all’Interessato (cioè colui che ha conferito i propri dati personali). Questi illeciti si riferiscono al “Trattamento illecito di dati” (art. 167), alla “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (art. 167-bis) e all’“Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (art. 167-ter). Ulteriori illeciti penali sono previsti per “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio di poteri del Garante” (art. 168), per l’”Inosservanza di provvedimenti del Garante” (art. 170) e per le “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” (art. 171), oltre le eventuali pene accessorie previste dall’art. 172.
Trattamento dei dati sanitari
Viene abolito il consenso per il trattamento dei dati per finalità di diagnosi e cura, anche se occorrerà sempre rispettare le misure di garanzia stabilite dal Garante con cadenza biennale. Le misure di garanzia individuano le misure di sicurezza, comprese le tecniche di cifratura e di pseudonimizzazione (cioè di indicazione dei dati con un codice di accesso specifico), misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
Localizzazione dei veicoli aziendali – GPS
Le società di progettazione dei servizi di localizzazione GPS dei veicoli aziendali devono adeguare il sistema alla disciplina europea in materia di trattamento dei dati. Inoltre, l’installatore del sistema non può effettuare un ulteriore trattamento dei dati stessi.
I fornitori di servizi di geolocalizzazione sono quindi tenuti a incorporare il “diritto alla privacy” direttamente nelle funzionalità dei prodotti.
In sintesi, gli obblighi in materia di trattamento dei dati personali nella localizzazione dei veicoli aziendali sono:
- incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto
- informare chiaramente i propri clienti circa la possibilità di adattare le caratteristiche del servizio alle concrete finalità perseguite
- rendere disponibile la funzione che consente la disattivazione del GPS, per tutti i tipi di abbonamento al servizio senza eccessivi costi aggiuntivi.