POST 387
In data 19 settembre 2018
è entrato in vigore il Decreto Legislativo 101/2018 di armonizzazione della
normativa nazionale al Regolamento Ue n. 679 del 2016 (“GDPR”).
La parte generale del
Codice Privacy italiano risulta sostituita quasi integralmente dalle
disposizioni del Regolamento, sicché le norme su principi, basi giuridiche del
trattamento, informativa e consenso previgenti sono abrogate e sostituite da
quelle europee.
Quanto alla parte
speciale si riportano di seguito brevemente le principali novità introdotte dal
decreto.
1) Curriculum Vitae
Il d.lgs. 101/2018
stabilisce che l’informativa ex art. 13 GDPR vada fornita al momento del “primo contatto utile“, successivo
all’invio del curriculum. Nei limiti delle finalità stabilite dall’articolo 6,
paragrafo 1) lettera b) del Regolamento UE, il consenso del candidato al
trattamento dei dati personali contenuti nel curriculum non è richiesto.
2) Controlli a
distanza
Viene fatta espressamente
salva la disciplina dell’art. 4 dello Statuto dei Lavoratori e viene confermata
l’applicabilità della sanzione penale ex art. 38 l. 300/1970 per i casi di
violazione del comma 1 dell’art. 4 Stat. Lav.
3) Consenso dei
minori
In relazione all’offerta
diretta di “servizi della società
dell’informazione“, il consenso potrà essere espresso al compimento
dei 14 anni di età. Al di sotto di tale soglia, il consenso andrà prestato da
chi esercita la responsabilità genitoriale.
4) Codici
deontologici e autorizzazioni generali
In un’ottica di
salvaguardia della continuità sono stati fatti salvi per un periodo transitorio
i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di
successivo riesame.
Il Garante per la
protezione dei dati personali, con provvedimento di carattere generale da porre
in consultazione e da pubblicarsi entro novanta giorni dalla data di entrata in
vigore del decreto, dovrà individuare le prescrizioni contenute nelle
autorizzazioni generali che risultino compatibili con le disposizioni del GDPR
e del decreto legislativo 101/2018 e, ove occorra, provvederà al loro
aggiornamento.
Le autorizzazioni
generali sottoposte alla predetta verifica e che dovessero essere ritenute
incompatibili con il GDPR, cesseranno di produrre effetti.
Il Garante è inoltre
chiamato a promuovere l’emanazione delle regole deontologiche concernenti il
trattamento dei dati personali in alcuni settori (lavoro, giornalismo,
statistica e ricerca scientifica) coinvolgendo i soggetti interessati ed
effettuando una consultazione pubblica.
5) Semplificazioni
per PMI
Viene previsto che il
Garante della Privacy individui delle modalità semplificate di adempimento
degli obblighi del titolare del trattamento per le PMI.
6) Sanzioni
Il legislatore italiano
ha deciso di avvalersi della facoltà, concessa dal GDPR a tutti gli Stati
membri, di prevedere sanzioni penali per alcune violazioni della normativa
sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative
previste dal Regolamento.
Vengono penalmente
sanzionati:
· il trattamento illecito di dati personali;
· l’acquisizione fraudolenta di dati personali oggetto di
trattamento su larga scala;
· la comunicazione e diffusione illecita di dati personali
oggetto di trattamento su larga scala;
· le false dichiarazioni rese al Garante;
· l’inosservanza dei provvedimenti del Garante;
· la violazione del comma 1 dell’art. 4 Stat. Lav..
7) Prima fase di
attuazione del GDPR
Viene previsto che per i primi
otto mesi dalla data di entrata in vigore del decreto, il Garante per la
protezione dei dati personali tenga conto, ai fini dell’applicazione delle
sanzioni amministrative e nei limiti in cui risulti compatibile con le
disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione
delle disposizioni sanzionatorie.
8) Dati personali
delle persone decedute
Viene previsto che i
diritti di cui agli articoli da 15 a 22 del GDPR riferiti ai dati personali
concernenti persone decedute possono essere esercitati da chi ha un interesse
proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per
ragioni familiari meritevoli di protezione. L’esercizio dei predetti diritti
non è ammesso quando ciò sia vietato per legge, o quando – limitatamente
“all’offerta diretta di servizi della società dell’informazione” –
l’interessato lo abbia espressamente vietato con dichiarazione scritta ed
inequivoca.
L’eventuale divieto non
potrà comunque produrre effetti pregiudizievoli per l’esercizio da parte di
terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché
del diritto di difendere in giudizio i propri interessi.
Tommaso Talluto
Avvocato – Studio EPICA – Treviso