Pubblicate le norme di adeguamento al Regolamento europeo sulla privacy

E’ stato finalmente pubblicato sulla Gazzetta Ufficiale del 4 settembre il tanto atteso decreto legislativo 10 agosto 2018, numero 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati ».

La scelta del Governo – cha aveva approvato il testo definitivo nella seduta del Consiglio dei Ministeri dell’8 agosto - è stata quella di agire novellando il codice della privacy esistente e, cioè, il d.lgs. numero 196/2003 , e ciò nonostante il regolamento abbia cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di della “accountability”. È stata, quindi, superata l’idea dell’originaria bozza di decreto elaborata da un’apposita Commissione che voleva abrogare il d.lgs. numero 196/2003 riscrivendo tutto e non prevedere alcuna sanzione penale per le violazioni della privacy. Più in particolare, è stato previsto di fare salvi, per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Inoltre, è stato previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. Peraltro, è stato anche previsto un periodo di otto mesi generalmente definito di “tregua”, ma che “tregua” tecnicamente non mi sembra durante i quali l’attività ispettiva del Garante dovrà tenere conto del fatto che le imprese hanno bisogno di tempo per adeguarsi alle norme e sul quale si richiama anche il provvedimento numero 121 del 22 febbraio 2018 del Garante della privacy che già aveva rilevato la necessità di avere a disposizione il “decreto” e “tempo” per adeguarsi . Il testo della norma rilevante è così strutturato «Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento UE 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie». Il che nulla toglie – e non potrebbe essere diversamente ovviamente come riconosciuto dallo stesso legislatore – che dal 25 maggio 2018 le norme del Regolamento UE siano pienamente operative non foss’altro perché contenute in una fonte sovraordinata e, quindi, se violate possono dar luogo quantomeno all’obbligo di risarcire il danno. Struttura. Quanto alla struttura del d.lgs. appena pubblicato esso è composto da sei capi Capo I Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, numero 196 Capo II Modifiche alla parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, numero 196 Capo III Modifiche alla parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, numero 196 Capo IV Modifiche alla parte III e agli allegati del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, numero 196 Capo V Disposizioni processuali Capo VI Disposizioni transitorie, finali e finanziarie . Dati genetici e condanne penali. Orbene, cerchiamo di mettere in rilievo alcuni degli aspetti più significativi rinviando, poi, per gli approfondimenti ai commenti relativi agli specifici argomenti. Tra gli aspetti più significativi vi è senz’altro la questione del trattamento, da un lato, dei dati genetici, biometrici e relativi alla salute che, ex articolo 2- septies , viene subordinato anche al rispetto di misure di garanzia disposte dal Garante . Rispetto a questi il comma 7 precisa anche che «Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'articolo 32 del Regolamento, e' ammesso l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al presente articolo». Dall’altro lato, la questione del trattamento dei dati quelli concernenti condanne penali e reati olim dati giudiziari che, ex articolo 2- octies , è consentito nei limiti di quanto previsto da norme di legge o di regolamento che, inter alia , sarà consentito per «l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria» lett. e . Inutilizzabilità dei dati. L'articolo 2- novies conferma l'inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali già prevista dall’articolo 12 d.lgs. originario. Regole deontologiche. L'articolo 2- quater fa salva l'adozione di “regole deontologiche” negli ambiti in cui il Regolamento riserva la materia agli Stati membri a trattamenti necessari per adempiere un obbligo legale b trattamenti necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri c trattamento di dati genetici, biometrici o relativi alla salute d talune specifiche situazioni di trattamento di cui al Capo IX . Consenso del minore. Un altro aspetto particolarmente dibattuto riguarda la scelta compiuta sul consenso del minore. L’articolo 2- quinquies delinea le condizioni specifiche per la validità del consenso prestato dal minore in relazione ai servizi della società dell'informazione «il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione» e non più sedici come era originariamente previsto nello schema presentato alle Commissioni parlamentari e al Garante. La scelta finale segue quanto aveva osservato il Garante che nel proprio parere aveva sottolineato che la scelta di fissare il limite a sedici anni non sembrava coerente con altre disposizioni dell'ordinamento che individuano a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche e.g. cyberbullismo e adozione . Per il Garante sarebbe parso «incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network». Infine, il decreto pone l’obbligo in capo al titolare che offre direttamente ai minori i servizi di cui al comma 1 di redigere «con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest'ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi». Persone decedute. L'articolo 2- terdecies concerne il trattamento relativo ai dati di persone decedute, che attribuisce l'esercizio dei diritti dell'interessato a chi abbia un interesse proprio o agisca a tutela dell'interessato, in qualità di suo mandatario, o per particolari ragioni familiari. In base al comma 2 «l'esercizio dei diritti di cui al comma 1 non e' ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato [anche limitatamente ad alcuni diritti e che potrà sempre modificare o revocare, nda] con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata». Il Garante aveva rilevato l’opportunità di garantire la volontà dell'interessato di vietare l'esercizio dei diritti di accesso ai dati che lo riguardano suggerendo di introdurre un comma 3- bis in base al quale «sono nulle le clausole contrattuali che prevedono disposizioni in contrasto con quanto stabilito dai commi 2 e 3». Il comma 5 prevede, infine, che «In ogni caso, il divieto non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonchè del diritto di difendere in giudizio i propri interessi». Peraltro, non si può non ricordare sul tema il recente epilogo di una vicenda in Germania che ha coinvolto Facebook i genitori avevano chiesto a Facebook di poter accedere alla pagina della loro figlia morta per poter trarre elementi ritenuti utili per l’accertamento delle cause della morte. Ebbene, dopo una sentenza di primo grado favorevole ai genitori e quella di appello favorevole a Facebook, la Corte Federale di Giustizia ha riconosciuto ai genitori il diritto di accedere al profilo privilegiando il diritto successorio. Inoltre, sul punto, il Garante aveva richiamato l’attenzione sulla «opportunità di assicurare un migliore coordinamento della disposizione in esame con la disciplina civilistica rilevante, in particolare in ordine alle implicazioni del divieto di cui ai commi 2 e 3 sull'esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell'interessato nonché del diritto di difesa in giudizio». Le sanzioni amministrative e penali. L’aspetto sanzionatorio è stato così ristrutturato è stato rimodulato l'impianto il reato di “trattamento illecito di dati” articolo 167 , sono state introdotte nuove fattispecie di reato “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” e la “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, declinata sempre in relazione a un numero rilevante di persone offese cfr. articolo 167- bis e 167- ter è stata confermata la fattispecie di cui all'articolo 168 “Falsità nelle dichiarazioni al Garante” e sostituito l’articolo 170 relativo all’inosservanza di provvedimenti del Garante. Peraltro, il comma 2 dell'articolo 168 punisce la condotta di interruzione o turbativa della regolarità di un procedimento innanzi al Garante o degli accertamenti svolti dall'Autorità ove si richiede un dolo intenzionale. Per quanto attiene alle misure minime di sicurezza, non più previste dal Regolamento, è stato abrogato l'articolo 169 ne deriva che la violazione delle disposizioni in materia di sicurezza sarà sanzionata con misure di carattere amministrativo-pecuniario, ai sensi degli articolo 83, par. 5 del Regolamento. E’ prevista, poi, la cooperazione tra autorità giudiziaria e il Garante, che è competente per l’irrogazione delle sanzioni amministrative eventualmente coincidenti con l'area della rilevanza penale qui interviene, peraltro, la disposizione del comma 6 mutuata dall'articolo 287- terdecies d.lgs. numero 58/1998 volta a disciplinare la possibile convergenza sul medesimo fatto di responsabilità e sanzioni penali e amministrative. Ed infatti, è stato previsto che «quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa e' stata riscossa, la pena è diminuita». Nuove disposizioni processuali. Da ultimo, e salvo l’approfondimento sul tema, occorre richiamare subito all’attenzione l’articolo 17 che ha introdotto alcune modifiche di tipo processuale.

PP_CIV_18GazzettaDLgs101_s