Adeguamento GDPR: pubblicato in G.U. il decreto legislativo di adeguamento del codice privacy alle disposizioni del regolamento (UE) 2016/679

(I)        Introduzione

Il Decreto Legislativo n. 101 del 10 agosto 2018 (“D.lgs. 101/2018”) ha novellato il D. Lgs. n. 196/2003, c.d. “Codice della Privacy” (“Codice Privacy”), al fine di adeguarlo al contenuto del Regolamento (UE) 2016/679 (“GDPR”) entrato in vigore il 25 maggio scorso.

Le nuove disposizioni, in vigore dal 19 settembre 2018, unitamente alle disposizioni introdotte dal GDPR ed ai provvedimenti applicativi del Garante della Privacy costituiscono il quadro normativo di riferimento in materia di privacy.

(II)      Principali novità introdotte dal D.lgs. 101/2018

A seguito dell’opera di adeguamento al GDPR attuata dal legislatore nostrano con il D.lgs. 101/2018, il “nuovo” Codice Privacy si presenta alquanto innovato.

Il D.lgs. 101/2018, inter alia, disciplina:

• la validità del consenso prestato dal minore in relazione all’offerta diretta di servizi della società dell’informazione, prevedendo che: (i) i minori che abbiano compiuto i 14 anni possono validamente prestare il proprio consenso; diversamente, (ii) i minori con età inferiore ai 14 anni non possono prestare il loro consenso, essendo necessario il consenso del soggetto esercente la potestà genitoriale (art. 2-quinquies del Codice Privacy);
• le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute che possono essere oggetto di trattamento in conformità alle misure di garanzia disposte dal Garante (art. 2-septies del Codice Privacy);
• i principi relativi al trattamento degli “ex dati giudiziari” avvenuto al di fuori del controllo dell’autorità pubblica; (art. 2-octies del Codice Privacy);
• i casi di limitazione all’esercizio dei diritti che l’interessato può esercitare ai sensi degli articoli dal 15 al 22 del GDPR (art. 2-undecies del Codice Privacy);
• la nuova categoria dei “soggetti designati” che sembrerebbe preservare la figura tutta italiana degli incaricati del trattamento, disciplinata dall’ormai abrogato art. 30 del Codice Privacy (art. 2-quaterdecies del Codice Privacy);
• la figura dell’Organismo nazionale di accreditamento, vale a dire l’ Ente unico nazionale di accreditamento degli organi di certificazione (art. 2-septiesdecies del Codice Privacy).

Il D.lgs. 101/2018 abroga, inter alia, nella Parte Prima sia il Titolo II “Diritti dell’interessato” (artt. 7 – 10 del Codice Privacy) che il Titolo III “Regole generali per il trattamento dei dati” (artt. 11 – 17 del Codice Privacy). Tali norme, una volta centrali nella normativa interna (si pensi all’art. 7 relativo al “diritto di accesso ai dati personali ed altri diritti” e all’art. 13 relativo all’“Informativa”) sono state abrogate per cedere il passo all’applicazione diretta delle norme previste dal GDPR. Come già riferito, infatti, il Codice Privacy novellato e il GDPR, unitamente ai provvedimenti del Garante, le uniche fonti normative in materia di protezione dei dati personali.

Il D.lgs. 101/2018 fa salvi tutti i provvedimenti emanati dall’Autorità Garante sin dal 1997 (art. 22 del D.lgs. 101/2018) in base al principio di compatibilità di ogni singolo provvedimento con il GDPR ed il nuovo Codice Privacy. Restano altresì provvisoriamente applicabili gli allegati da A1 a A7 del Codice Privacy sino al controllo di compatibilità che il Garante dovrà effettuare entro 90 giorni dall’entrata in vigore del D.lgs. 101/2018. Diversamente, il D.lgs. 101/2018 abroga l’Allegato B (Disciplinare tecnico in materia di misure minime di sicurezza) e l’Allegato C (Trattamenti non occasionali o in ambito giudiziario o per fini di polizia) del Codice Privacy.

In un’ottica di continuità, il D.lgs. 101/2018 salva provvisoriamente l’efficacia delle Autorizzazioni Generali rilasciate dal Garante (sebbene quest’ultimo già con un provvedimento del 19 luglio 2018 ne avesse prolungato l’efficacia). Anche per queste infatti è previsto che il Garante debba riesaminarle entro novanta giorni dalla data di entrata in vigore del D.lgs. 101/2018.

(III)    Aspetti Sanzionatori

Il D.lgs. 101/2018 è intervenuto anche sul piano sanzionatorio penale, confermando i reati già previsti dal Codice Privacy (con limitate modifiche sul piano sanzionatorio) ed introducendo, altresì, ulteriori ipotesi di reato quali: (i) la “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (art. 167 bis del Codice Privacy); (ii) l’ “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (art. 167 ter del Codice Privacy) e (iii) l’ “Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” (art. 168, comma 2 del Codice Privacy).

Come noto, diversamente dalla disciplina delle sanzioni penali, la disciplina delle sanzioni amministrative è contenuta nel GDPR. In tal senso il D.lgs. 101/2018 abroga nel Codice Privacy tutte le norme del Titolo III, Capo I sulle “Violazioni amministrative”, stabilendo tuttavia con la modifica dell’art. 166 del Codice Privacy quali violazioni amministrative del novellato Codice Privacy debbano essere sanzionate in base alle due diverse opzioni sanzionatorie previste dall’art. 83, comma 4 del GDPR (fino a 10 milioni di Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) e dall’art. 83, comma 5 (fino a 20 milioni di Euro o, per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

***

Per maggiori informazioni potete contattare uno dei seguenti professionisti presso il nostro Studio:

Avv. Giampaolo Grasso

Email: ggrasso@glglex.com

Avv. Mario Distasi

Email: mdistasi@glglex.com

Avv. Marika Manganaro

Email: mmanganaro@glglex.com

Tel: 0039 02 8282 6000