GDPR, approvato Decreto di Coordinamento


Il Consiglio dei Ministri n.14 ha confermato i principi del Codice Privacy

 

Lo scorso 8 agosto il Consiglio dei Ministri, presieduto da Giuseppe Conte, ha approvato il testo definitivo del Decreto di armonizzazione dell’ordinamento italiano al Regolamento (UE) n. 679/216, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati: il c.d. GDPR.

Il Decreto di coordinamento, di cui più volte abbiamo parlato, il cui termine ultimo per l’emanazione era previsto per il 25 maggio, poi slittato al 21 agosto, ha pertanto ora uno schema definitivo.

Quali saranno gli elementi chiave?

Dopo il parere della Commissione Speciale, è stato perciò pubblicato in Gazzetta Ufficiale n. 205 del 4 settembre 2018 il D.Lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) n. 2016/679 del 27 aprile 2016.

Secondo quanto previsto nel Decreto di Coordinamento – con entrata in vigore dal 19/09/2018 – gli elementi chiave di quelle che saranno le linee guida per ciò che concerne l’applicazione del Regolamento europeo Privacy sul territorio italiano saranno:

  • gradualità, relativa all’attività ispettiva del Garante nei confronti di imprese e pubblica amministrazione: le ispezioni saranno più “blande”, poiché nell’applicazione delle sanzioni amministrative il Garante dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del decreto e compatibilmente con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie;
  • semplificazione, rivolta alle piccole e medie imprese che dovranno far fronte ad adempimenti normativi più soft rispetto alle società che trattano dati su larga scala. È immediato ricondurre questa attività di semplificazione a quella introdotta con il provvedimento n. 152 del Garante PrivacySemplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”, del 19 giugno 2008. Risale, infatti, già a 10 anni fa la concezione di concedere alle Pmi un alleggerimento delle procedure, troppo onerose in rapporto alle garanzie per gli interessati. Pare rimangano esclusi dalle semplificazioni tutti gli aspetti di marketing e comunicazione massiva, profilazione web, crm e via dicendo;
  • continuità, la quale concerne il corpus normativo che non verrà abrogato ma costituirà una fonte normativa da integrare con quelle esistenti (Regolamento europeo 2016/679) e future.
    Secondo quanto affermato dal Consiglio dei Ministri: «Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti».

Il testo è stato oggetto di un lungo e travagliatissimo iter approvativo

Sebbene il regolamento europeo non abbia bisogno di strumenti nazionali di recepimento o implementazione, nel caso del GDPR, il legislatore europeo del 2016 ha lasciato agli Stati membri ampi margini di manovra. Infatti, in ben undici punti del Regolamento si trovano deleghe, facoltative, che permettono agli Stati nazionali di adattare gli ordinamenti giuridici al GDPR, anche tenendo conto delle peculiarità che negli anni si sono cristallizzate ad opera delle Autorità nazionali di controllo e garanzia sulla privacy.
Ecco perché il Parlamento italiano ha giustamente approvato, a novembre 2017, una legge delega che ha trovato l’8 agosto scorso, da parte del Governo, il suo varo definitivo, dopo non poco travaglio, diverse bozze anche approvate in prima lettura dal precedente Governo ed un notevole lavoro da parte di una Commissione ministeriale presieduta dalla Prof.ssa Giusella Finocchiaro, che ha visto tra i suoi protagonisti anche il predecessore dell’attuale presidente del Garante, il Prof. Francesco Pizzetti.

Dopo il parere della Commissione Speciale sullo schema del D. L.gs delegato, il Decreto è stato portato in approvazione al Consiglio dei Ministri dal Governo, giungendo finalmente al testo definitivo.

Quali sono i principali effetti e le maggiori conseguenze di questa legge?

Gli adeguamenti e la normativa interna erano necessari, visto il testo del Regolamento così generico.

  • Il decreto andrà a prevedere e adeguare la normativa nazionale, soprattutto in settori dove il trattamento dei dati personali è complesso, delicato, particolare e caratterizzato da modalità di trattamento di categorie particolari di dati personali (dati sensibili), necessario per motivi di rilevante interesse pubblico.
    Sono previsti, a questo proposito, numerose disposizioni che completano gli articoli 9 e 10 del Regolamento europeo; è stabilito un potere del Garante di emanare un provvedimento biennale relativo a misure di garanzia per trattamento dei dati genetici, biometrici e relativi alla salute che tenga conto di numerose indicazioni del legislatore e che individui adeguate misure di sicurezza.
  • È stata colmata la lacuna relativa all’uso dei dati biometrici per l’accesso fisico e logico ai dati da parte dei soggetti autorizzati.
  • Il decreto prevede nel dettaglio, in relazione alla normativa nazionale, la specifica disciplina del trattamento dei dati, da parte dei privati, relativi alle condanne penali e ai reati nonché ai dati dei procedimenti giudiziari trattati per accertamento, esercizio o difesa di un diritto in sede giudiziaria.
  • Molte le disposizioni che limitano o precisano il trattamento dei dati in materie delicate e settori complessi come salute, pubblica amministrazione e giustizia: particolare importanza in tema è stata data anche alla correzione della norma sul whistleblowing, che mantiene riservato e non accessibile (neppure in base al diritto, riconosciuto dal GDPR, di accesso ai dati o quello ai documenti amministrativi), il nome del dipendente che segnala l’illecito.
  • Norma interessante è quella relativa al Data Protection Officer (DPO), obbligatorio per l’Autorità Giudiziaria, benché già previsto dalla Direttiva europea approvata in primavera dal Governo italiano.
  • In tema di delitti per illecito trattamento dei dati personali si rilevano tre fattispecie, con dolo specifico di profitto e di danno cagionato a terzi ma con condotte limitate ai fatti gravi di trattamento di dati sensibili, giudiziari, in violazione degli articoli 2 septies e 2 octies del decreto.
  • È punito anche il trattamento dei dati personali quando sono oggetto di utilizzo su larga scala, concetto che vuole richiamare i c.d. Big Data.
  • Si demanda al Garante, di concerto con l’AGCOM, la definizione delle regole per l’inserimento dei dati personali – e del loro successivo utilizzo – dei contraenti negli elenchi telefonici.
  • In merito all’organizzazione dell’Autorità garante, verrebbe introdotto l’obbligo, prima della nomina del nuovo Collegio, ai possibili candidati di avanzare formale candidatura (che sarà vagliata con modalità trasparenti). Alla cessazione dell’incarico di componente, scatta il divieto di trattare, per i due anni successivi alla cessazione dell’incarico ovvero del servizio presso il Garante come funzionario o dirigente, procedimenti dinanzi al Garante, compresa la presentazione per conto di terzi di reclami, richieste di parere o interpelli.
  • Fondamentale, poi, il richiamo ai provvedimenti fin qui adottati dal Garante in 20 anni di sua attività: i provvedimenti da esso emanati continueranno ad applicarsi, in quanto compatibili con il GDPR.

In ultima analisi, il Decreto del Governo Conte, oltre ad essere un importante provvedimento, salva molto del Codice Privacy, nell’ottica di aiutare a interpretare meglio il GDPR, ad osservarne gli obblighi e a godere delle opportunità per interessati, titolari e responsabili.