Nuova Privacy 2018

10 agosto 2018

Privacy. Su sanzioni e controlli concessi 8 mesi "di grazia”

privacy
Approvato in via definitiva dal Consiglio dei Ministri, nel corso della seduta dell’8 agosto, lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione (Reg. Ue 679/2016).

Il decreto legislativo in particolare, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE.

Si è optato alla fine per la “sopravvivenza” del vecchio codice della privacy, negli aspetti compatibili alle disposizioni europee.

A seguito dell’esame della commissione appositamente costituita, si è deciso infatti, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato l’intera prospettiva dell’approccio alla tutela della privacy rispetto al codice, introducendo il principio dell’accountability (responsabilizzazione).

Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di un successivo riesame, nonché i Codici deontologici vigenti.

Un’entrata con “colpo di scena”, considerato che è stato previsto un ingresso soft, un “periodo di grazia” di 8 mesi, per quanto riguarda l’attività ispettiva e di conseguenza gli aspetti sanzionatori sull’adeguamento al nuovo Regolamento delle imprese e delle P.A., dando voce alle tante richieste pervenute da più parti (Confindustria, Abi, Ania, Assonime e Confcommercio) al Governo e al Garante.

Le commissioni parlamentari, infatti, prendendo a riferimento il modello francese, avevano chiesto una moratoria per gli aspetti sanzionatori, considerato che le sanzioni amministrative previste sono decisamente pesanti arrivando fino, nei casi più gravi, a 20 milioni di euro.

D’altro canto le prossime azioni ispettive (per il periodo luglio-dicembre 2018) già rese note dal Garante della privacy nella delibera n. 437 del 26 luglio confermano l’intenzione di voler agire soprattutto sulle grandi realtà escludendo, per ora, piccole e medie imprese (v. articolo Fiscal Focus del 02.08.2018 Garante Privacy: reso noto il piano ispettivo per il secondo semestre 2018).

Il testo non è ancora pubblicato ma da ciò che emerge sono diverse le novità, in considerazione alle esigenze di semplificazione delle micro, piccole e medie imprese. Si è previsto, infatti, che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. Il testo iniziale del Decreto in realtà già prevedeva la possibilità di uno statuto speciale per la privacy per tali categorie.

Le PMI potranno essere quindi oggetto di provvedimenti di esenzione del Garante Privacy.

Altra novità riguarda l’adozione di disposizioni specifiche riguardo alla disciplina dei dati sanitari.

Il Regolamento Ue prevedeva la possibilità di rimandare al Legislatore italiano per i dati particolari, soprattutto quelli relativi alla salute, e il provvedimento a tal riguardo ha optato difatti di avvalersi di tale facoltà affidando al Garante l’adozione di speciali misure di garanzie sentito il Ministero della salute.

Introdotte inoltre, limitazioni al trattamento dei dati in caso di whistleblowing, ovvero riguardo alla disciplina che prevede misure di tutela per i lavoratori appartenenti sia al settore privato che pubblico, denunciando reati o irregolarità di cui siano venuti a conoscenza nell'ambito del rapporto di lavoro.

Prevista infine l’istituzione del DPO anche nel settore giudiziario, ma le autorità giurisdizionali saranno esentate dalle sanzioni previste dal regolamento privacy.

Le regole europee, sono entrate in vigore lo scorso 25 maggio, ma l’Italia era partita senza il decreto di adeguamento e di armonizzazione, nonostante i due anni concessi per la piena attuazione.

La data entro cui sarebbe scaduta la delega affidata al Governo per armonizzare le disposizioni nazionali sulla privacy in vigore e quelle europee, prevista al 21 maggio, era stata infatti prorogata al 21 agosto 2018.

La delega prevedeva inoltre l’adozione di uno o più decreti legislativi e, alla fine, fu scelta la strada di un unico provvedimento attuativo.

Un provvedimento travagliato considerato che un primo testo, approvato in via preliminare il 21 marzo, aveva completamente abrogato il vecchio Codice della privacy (D.Lgs. 196/2003), scelta che sarebbe stata quantomeno criticabile in quanto attuata in eccesso di delega.

Un secondo testo poi, completamente diverso rispetto al precedente, ha optato invece per la modifica del Codice della privacy, abrogando espressamente le disposizioni ritenute incompatibili con il Regolamento Ue e coordinando le disposizioni compatibili con le norme vigenti. Un testo che è stato oggetto di una serie di osservazioni e richieste di revisione da parte delle commissioni parlamentari, sulla base anche di una serie di audizioni di esperti in materia, nonché sulla base dei pareri del Garante.

È da precisare che il Decreto non appena approvato, rimane comunque severo riguardo al trattamento di dati illeciti su larga scala, e quindi riguardo all’utilizzo improprio di grandi banche dati, come nei casi del marketing selvaggio, settore più volte sanzionato negli ultimi mesi con cifre da capogiro. Su quest’ultimo aspetto saranno inoltre previste anche sanzioni penali pesanti.

Difatti viene inserito il concetto di trattamento di dati su larga scala, come elemento caratterizzante dei reati previsti dall’art 167 bis e ter del codice privacy, reati che prevedono, lo ricordiamo, la reclusione fino a 3 anni per chi al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede in maniera illecita al trattamento di dati personali.

Il provvedimento prevede quindi il rafforzamento delle sanzioni penali, che anzi vengono ampliate con la previsione del danno, come elemento caratterizzante accanto allo scopo di profitto.
Autore: Enza Mancuso
 © Informati S.r.l. – Riproduzione Riservata
Categorie: Privacy > Disposizioni generali

Per inserire i vostri commenti dovete registrarvi.