Non solo le sanzioni penali non sono state cancellate (come previsto nella prima bozza), ma sono stati aggiunti nuovi reati, come il trattamento illecito dei dati, (punito da sei mesi fino a tre anni di carcere) e l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (reclusione da uno a quattro anni). Per le sanzioni amministrative, invece, sarà il Garante Privacy sia a scrivere le regole per l’applicazione (per esempio è soggetto chi non effettua la valutazione d’impatto sulla protezione dati – la Dpia) sia a promuovere modalità semplificate di adempimento degli obblighi per le piccole e medie imprese (Pmi). Sono queste le novità, più attese e temute, contenute nel decreto legislativo n.101 del 10 agosto 2018 pubblicato ieri sera, finalmente, sulla Gazzetta Ufficiale. Il Consiglio dei ministri aveva approvato il decreto il 9 agosto scorso per adeguare la normativa nazionale al Regolamento generale in materia di protezione dei dati (Gdpr), pienamente efficace dal 25 maggio scorso. Il provvedimento entrerà in vigore in Italia il 19 settembre.
Per semplificare l’applicazione del Regolamento, il legislatore italiano ha deciso di non abrogare totalmente il decreto legislativo 196 del 2003, noto come Codice Privacy, ma lo armonizza al contenuto del Gdpr prevedendo una abrogazione parziale. Dunque a breve passeremo dal vecchio al nuovo codice privacy con il D.lgs. 101/2018 che dal 19 settembre prossimo troveremo nei curricula (anche se nei CV non è obbligatorio), negli uffici pubblici, in farmacia, dal dottore. Dunque la tutela dei dati personali in Italia è regolata dal Gdpr più il Codice privacy come novellato dal decreto 101. La normativa italiana è una parte integrativa del Regolamento Ue che si applica integralmente anche in Italia.
Il decreto legislativo del 10 agosto n.101 pubblicato sulla Gazzetta Ufficiale è ricco di disposizioni, qui sintetizziamo le 10 novità principali.
Sanzioni penali: reclusione da sei mesi fino a sei anni
1. Trattamento illecito di dati. “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione del Regolamento arreca un danno all’interessato, è punito con la reclusione da sei mesi fino a un anno e sei mesi. E nei casi più gravi fino a tre anni.
2. L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala è punita con la reclusione da uno a quattro anni.
3. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala è punita con la reclusione da uno a sei anni.
4. L’inosservanza dei provvedimenti del Garante è punita con la reclusione da tre mesi a due anni.
Sanzioni amministrative
Sarà compito del Garante Privacy a scrivere le regole per l’applicazione delle sanzioni amministrative, previste per esempio, si legge nel decreto legislativo, per chi non effettua la valutazione d’impatto sulla protezione dati – la Dpia).
“Per i primi 8 mesi dalla data di entrata in vigore del presente decreto”, si legge nell’articolo 22, comma 13, “il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue, della fase di prima applicazione delle disposizioni sanzionatorie”, ma non significa che non potrà irrogare le sanzioni amministrative che possono essere salatissime, arrivando a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale, che può essere anche fuori dall’Europa. Anche per questo motivo col il Gdpr in vigore Facebook non potrebbe più farla franca di fronte a un nuovo caso Cambridge Analytica.
Modalità semplificate di adempimento degli obblighi per le Pmi
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, il Garante Privacy dovrà promuovere modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Minori sui social da 14 anni senza l’ok dei genitori
In Italia dal 19 settembre prossimo chi ha 14 anni potrà iscriversi liberamente sui social network e utilizzare i servizi di messaggistica istantanea (WhatsApp, ecc.). Questa è un’altra novità contenuta del testo del decreto di adeguamento al Gdpr. Gli under 14 hanno bisogno del consenso di chi esercita la responsabilità genitoriale.
Dati biometrici
Il decreto dà il via libera al trattamento dei dati genetici, biometrici e relativi alla salute, che dovrà avvenire seguendo le misure di garanzia disposte dal Garante Privacy.
Garante Privacy
Il nuovo codice privacy rafforza i poteri e aumenta i compiti del Garante Privacy, per il quale il legislatore ha stabilito per il personale il limite di 162 unità. Novità anche per chi desidera diventare componente dell’Autorità: “Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti devono essere eletti tra coloro che presentano la propria candidatura nell’ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet”. Infine è cambiata anche la forma di tutela garantita a chi crede di aver subìto una violazione della privacy: non più il ricorso, ma l’interessato può proporre un reclamo al Garante Privacy oppure rivolgersi all’autorità giudiziaria.
Dati per la ricerca scientifica e per fini statistici
L’Autorità Garante per la protezione dei dati personali dovrà anche promuovere regole deontologiche per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici che può essere effettuato, ecco la novità introdotta, anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
Giustizia
Tutti gli organi giudiziari sono obbligati a nominare il Data Protection Officer (Dpo).
I dati dei defunti
I dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
Procedimenti pendenti
Il decreto legislativo consente la definizione agevolata dei procedimenti pendenti relativi a violazioni amministrative del ‘vecchio’ codice Privacy, con il pagamento di una favorevole oblazione. Ci sono 90 giorni per pagare la sanzione ridotta per le contestazioni pendenti. Si può regolare il conto versando i 2/5 del minino edittale. La scadenza per il pagamento dell’importo è fissata al novantesimo giorno dall’entrata in vigore del decreto legislativo 101/2018, quindi a decorrere dal 19 settembre 2018.
