Codice della privacy

Editore: La Tribuna

A cura di: Emilio Tosi

Data di Pubblicazione: 2018

ISBN: 8893177706

Pagine: 1625

Prezzo: € 35,00

“Dalla data dell’entrata in vigore della prima normativa quadro in materia di trattamento dei dati personali – 8 maggio 1997 – ad oggi” – così scrive il curatore dell’opera Emilio Tosi, Professore Aggregato di Diritto Privato nell’Università di Milano Bicocca, Direttore Diritto Nuove Tecnologie® e Managing Partner di Tosi & Partners High Tech Legal nell’aggiornatissimo Codice recentemente pubblicato per i tipi La Tribuna – “si è progressivamente rafforzata e sviluppata una diffusa cultura della tutela e sicurezza dei dati personali in Italia e nella UE. Il rapido susseguirsi di interventi normativi generali e settoriali in materia ha, però, creato non poche difficoltà operative di interpretazione e coordinamento tanto ai giuristi che agli operatori economici e ai cittadini ormai destinati – tutti – a confrontarsi quotidianamente con tali nuove e delicate problematiche.

Si pensi alle pervasive problematiche poste dal trattamento dei dati personali raccolti mediante piattaforme digitali, motori di ricerca, social network, Internet of Things (IoT), wearables, droni, rilevatori biometrici e last but not least ai big data e al trattamento dei dati genetici.

Tenuto conto della complessità e attualità della materia e della già considerevole elaborazione normativa ad oggi formatasi, si è ritenuto utile – a supporto dell’opera interpretativa del giurista, dell’applicazione aziendale della normativa e della tutela dei diritti della persona fisica – raccogliere in un Codice della Privacy la normativa comunitaria, interna e internazionale inerente la tutela e la sicurezza dei dati personali, unitamente ai più significativi provvedimenti del Garante per la protezione dei dati personali”.

Il Codice si compone di una prima parte generale dedicata alla normativa comune seguita da una corposa parte speciale ordinata in voci alfabetiche di cui si segnalano le voci principali e precisamente:

Amministratori di sistema; Autorità garante per la protezione dei dati personali; Autorizzazioni generali per il trattamento dei dati particolari; Autorizzazioni generali al trasferimento dei dati all’estero; Beni culturali e del paesaggio; Carte magnetiche; Casellario giudiziale; Codici deontologici; Contratti telematici, firme elettroniche e firma digitale; Dati anagrafici e stato civile; Dati assicurativi; Dati bancari; Dati biometrici; Dati sulla circolazione stradale; Dati customer care; Dati etichette RFID; Dati finanziari; Dati fiscali; Dati genetici; Dati giudiziari; Dati PMI; Dati sanitari; Dati traffico telefonico e telematico; Fidelity card; Furti di identità; Indagini difensive; Media conciliazione; Misure minime di sicurezza; Pubblica sicurezza; Regolarizzazione dei ricorsi; Semplificazione dei riti civili; Servizi di comunicazione; Servizi di informazione; Telecomunicazioni; Tutela dei lavoratori; Videosorveglianza; Vigilanza privata.

L’undicesima edizione del Codice della Privacy tiene conto:

– da un lato, dell’importante riforma comunitaria del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE meglio noto come General Datata Protection Regulation (GDPR), divenuta pienamente applicativa il 25 maggio 2018;

– dall’altro, del tanto atteso Decreto armonizzazione del Codice della Privacy italiano che ora, a buon diritto, diventa il nuovo Codice della Privacy in quanto novellato dal D.Lgs. 101/2018 entrato in vigore il 19 settembre 2018.

Da segnalare, in relazione al GDPR, fra le tante novità introdotte, ex multis:

– il principio di accountability (art.5.2);

– riconoscimento esplicito del diritto all’oblio (art. 17);

– diritto alla portabilità dei dati (art. 20);

– Principio di sicurezza cristallizzato nell’art. 32 del GDPR

– la valutazione di impatto sulla protezione dei dati (art. 35);

– la nuova figura soggettiva del responsabile della protezione dei dati (art. 37), c.d. Data Protection Officer (DPO);

– il nuovo principio dell’attribuzione di competenza all’autorità di controllo capofila (artt.56-60), c.d. one stop shop.

Menzione particolare, infine, non certo per importanza merita il principio di applicazione territoriale esteso statuito dal nuovo art. 3 del GDPR che – al fine di disciplinare l’attività di trattamento dati dei grandi player multinazionali ma con sede oltre oceano,  nella Silicon Valley – stabilisce che:

“Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

E ancora:

“Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

1. a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
2. b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.

In relazione al nuovo Codice della Privacy italiano, corre l’obbligo di far cenno sintetico alle principali novità introdotte nell’ordinamento integrato italo-comunitario.

La parte generale risulta sostituita quasi integralmente dalle disposizioni del Regolamento in materia di principi generali, basi giuridiche del trattamento, informativa e consenso. Quanto alla parte speciale, fra le molteplici novità che si possono solo accennare senza pretese di completezza, viene fatta espressamente salva la disciplina del nuovo art. 4 dello Statuto dei Lavoratori e viene altresì confermata la sanzione penale ex art. 38  Statuto dei Lavoratori  per i casi di violazione della normativa in materia di controlli a distanza del lavoratore.

Il nuovo Codice garantisce, inoltre, opportunamente continuità applicativa ai provvedimenti del Garante compatibili con il GDPR (art.22.4) e alle autorizzazioni generali che saranno oggetto di successivo riesame da parte del Garante (art.21).

E ancora, sempre spigolando tra le numerose novità normative introdotte dalla novella in parola, gli adempimenti privacy per le PMI dovrebbero essere semplificati. L’articolo 154-bis, comma 4 del nuovo Codice Privacy  prevede uno specifico potere del Garante in tal senso: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”.

Il legislatore italiano – avvalendosi della facoltà concessa dal GDPR a tutti gli Stati membri UE, di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo) –  ha ritenuto di sanzionare penalmente i seguenti reati in materia di privacy:

• il trattamento illecito di dati personali (art.167);
• l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art.167-bis);
• la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art.167-ter);
• le false dichiarazioni rese al Garante (art.168);
• l’inosservanza dei provvedimenti del Garante (art.170).

Last but non least ai sensi dell’art. 22 comma 13 del d.lgs 101/2018, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Non si tratta di una sospensione delle attività ispettive né un’automatica esenzione da sanzioni ma, più semplicemente, di una specifica circostanza attenuante di cui il Garante tenrrà conto – nel periodo temporale predetto – in ragione delle oggettive difficoltà attuative correlate al periodo di prima applicazione di una normativa integrata italo-comunitaria decisamente complessa.

Il presente Codice – di sicuro interesse per Data Protection Officer, Giuristi di Impresa, Avvocati, Magistrati, Notai, Docenti Universitari, studenti di materie giuridiche ed appassionati della materia – è aggiornato alla G.U. n. 205 del 4 settembre 2018.