Data protection

GDPR, il parere (non vincolante) della Camera sullo schema di decreto

di |

Le osservazioni contenute nel parere della commissione speciale della Camera sul dlgs di adeguamento della normativa italiana al nuovo regolamento Ue sulla Data Protection.

Abbassare da 16 a 14 anni l’età minima per il consenso al trattamento dei propri dati da parte di un minore. Questa una delle condizioni contenuta nella proposta di parere al dlgs di adeguamento della nostra normativa nazionale al GDPR (regolamento 2016/679) presentata (e approvata) in commissione speciale alla Camera. Il parere prevede 12 condizioni e 16 osservazioni.

Il decreto dovrà essere approvato dal Governo entro il prossimo 23 agosto. Il parere della commissione speciale della Camera non è vincolante per il Governo.

DPO e Pmi

La Commissione speciale chiede lumi sulla figura del DPO (Data Protection Officer): “in particolare, non risulta chiaro se anche le piccole imprese debbano provvedere alla designazione del responsabile per la protezione dei dati e alla tenuta del registro per le operazioni relative al trattamento dei dati, posto che i corrispondenti obblighi valgano per quelle strutture che debbano provvedere ad un trattamento di dati “su larga scala”’.

Sempre per quanto riguarda le Pmi, la commissione chiede di prevedere per il Garante la possibilità di “adottare linee guida di indirizzo riguardanti misure di organizzazione e tecniche di attuazione del Regolamento, tenendo conto delle esigenze di semplificazione di micro, piccole e medie imprese, anche in relazione al trattamento del personale”.

Sospendere le sanzioni per almeno 8 mesi

La Commissione chiede inoltre di valutare la possibilità che il Garante, in una fase transitoria, “in ogni caso non inferiore a 8 mesi successivi all’entrata in vigore del decreto legislativo, non irroghi sanzioni alle imprese, ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act”.

 

DPO nelle scuole

Nel caso delle scuole, secondo la commissione, “si dovrebbe garantire che la nomina del RPD (Responsabile Protezione Dati) sia effettuata a livello di amministrazione centrale o periferica e non dalla singola scuola, individuando un apposito ufficio (regionale o nazionale) dotato di personale in grado di fornire la necessaria consulenza”.

 

Trattamento dati in casi di interesse pubblico

Un’altra condizione chiede di ritoccare i casi di interesse pubblico in cui viene consentito il trattamento dei dati personali sensibili, prevedendo tra questi anche “l’esercizio del mandato degli organi rappresentativi, compresa la loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione di cariche pubbliche”; i casi di “documentazione dell’attività istituzionale di organi pubblici, con particolare riguardo alle redazioni di verbali e resoconti dell’attività di assemblee rappresentative, commissioni o di altri organi collegiali o assembleari, nonché per lo svolgimento delle funzioni di controllo, indirizzo politico o sindacato ispettivo e per l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento del mandato elettivo”; e infine la “programmazione, gestione, controllo e valutazione dell’assistenza sanitaria” e la “vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria”.

 

Dati genetici

Con riferimento al trattamento dei dati genetici, biometrici e relativi alla salute una condizione chiede di specificare, “in un elenco tassativo e non meramente esemplificativo, le materie rispetto alle quale il garante piò adottare misure di garanzia, prevedendo altresì che tali misure individuano quelle di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti agli interessati”.

 

Consenso dei minori

Fra le osservazioni avanzate dalla Camera, in merito al consenso dei minori, “il titolare del trattamento redige con linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”.

 

Persone decedute

Per quanto riguarda i diritti delle persone decedute, la Camera chiede di valutare “l’opportunità di specificare se l’interessato per il quale si agisce a tutela sia il deceduto o un altro soggetto portatore di un interesse proprio”.

Organismo di accreditamento

In materia di organismo nazionale di accreditamento, la commissione speciale alla Camera chiede di valutare “l’opportunità di definire puntualmente la distinzione tra i ruoli svolti dall’ente di accreditamento nazionale (Accredia) e l’autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi, conflitti d’interesse….riservando a quest’ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute”.