di Monia Vasta - Il testo del Decreto di adeguamento al Gdpr pubblicato nella Gazzetta Ufficiale � entrato in vigore il 19 settembre 2018, a decorrere da tale data, tutti coloro che non si adegueranno alle predette norme rischieranno sanzioni amministrative, che si applicheranno anche alle violazioni commesse prima che il decreto entrasse in vigore.- Gdpr: l'interpretazione del decreto 101 da parte del Garante
- I reati previsti dal decreto privacy
- Le novit� del decreto privacy
Gdpr: l'interpretazione del decreto 101 da parte del Garante
Su punto per� vi sono diverse incongruenze di interpretazione da parte del Garante, infatti l'art. 18 del D.lgs. n�101/18, recita (il testo in G.U.):
"In deroga all'articolo 16 della legge 24 novembre 1981, n. 689, per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all'articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione, � ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Fatti salvi i restanti atti del procedimento eventualmente gi� adottati, il pagamento potr� essere effettuato entro novanta giorni dalla data di entrata in vigore del presente decreto".
Nel testo si evince che il pagamento, in misura ridotta, delle sanzioni riguarda "i procedimenti sanzionatori [�] che, alla data di applicazione del Regolamento (25 maggio 2018), risultino non ancora definiti con l'adozione dell'ordinanza ingiunzione".
I soggetti che possono beneficiare di tale norma e che possono usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante, sono coloro i quali non abbiano ancora ricevuto un'ordinanza ingiunzione relativa a un procedimento pendente alla data di entrata in vigore dalla norma.
Il Garante ha voluto fornire una lettura interpretativa alle domande poste pi� frequentemente (consultabili sul sito istituzionale), nonostante le spiegazioni siano difformi.
Definizione agevolata sanzioni privacy
Ad esempio alla medesima domanda posta: "Chi pu� usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante?" , l'Autorit� si esprime in tal senso:
"I contravventori che abbiano ricevuto, entro la data del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata di cui all'art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter,163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del Codice, hanno la facolt� di definire i suddetti procedimenti mediante il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale previsto per la sanzione (cfr. art. 18 del decreto legislativo n.101 del 10 agosto 2018).
Va precisato inoltre che, poich� il citato articolo 18 del d.lgs.101/2018 prevede che siano "fatti salvi i restanti atti del procedimento eventualmente gi� adottati", la suddetta facolt� di definizione agevolata non � ammessa qualora il procedimento sanzionatorio si sia nel frattempo concluso con l'adozione di un provvedimento di ordinanza-ingiunzione da parte del Garante".
L'ambito di applicabilit� (o, di "legittimazione attiva" ad usufruire della procedura summenzionata) riguarderebbe, i soli contravventori che abbiano ricevuto, prima del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata ex art. 18 della L. n�689/81.
L'art. 18 del D.lgs. n�101/18 sembra ammettere piuttosto la possibilit� di definizione agevolata, per chiunque non abbia ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento gi� pendente, a quella data, nei suoi confronti, e non solo per i contravventori che abbiano ricevuto gli atti sopra indicati.
Tale considerazione mette in luce una differenza sostanziale rispetto a quanto dedotto dall'Autorit�, in relazione alla successiva precisazione di questa, laddove in senso apparentemente contraddittorio a quanto affermato dal testo della legge, alla domanda n�12 delle stesse FAQ che recita:
"Ho ricevuto un atto di contestazione successivamente al 25 maggio 2018 ma relativo a violazioni commesse prima di tale data. Posso usufruire della definizione agevolata prevista dal decreto n�101/2018?"
A tale quesito l'Autorit� risponde in senso negativo, sottolineando che: " chi ha ricevuto un atto di contestazione successivamente al 25 maggio 2018, ma relativo a violazioni commesse prima di tale data, non pu� usufruire della definizione agevolata prevista dal decreto n�101/2018 e ci� poich�, l'art. 18 del decreto n. 101/2018 prevede la facolt� di definizione agevolata della violazioni solo per "i procedimenti sanzionatori [�] che, alla data di applicazione del Regolamento [25 maggio 2018], risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione".
Nell'art. 18 del D.lgs. 101/2018, n� nei successivi sussiste, alcuna specificazione sull'accessibilit� alla procedura di definizione agevolata, riguardante le diverse categorie dei contravventori, pur citate dall'Autorit� nelle proprie FAQ, n� � riscontrabile alcuna differenziazione in merito tra soggetti che abbiano ricevuto gli atti citati nelle stesse FAQ o meno.
Ai fatti commessi prima della data di entrata in vigore del decreto non pu� essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena, originariamente prevista od inflitta per il reato, tenuto conto del ragguaglio dell'art.135 c.p. "Quando, per qualsiasi effetto giuridico, si deve eseguire un ragguaglio fra pene pecuniarie e pene detentive, il computo ha luogo calcolando euro 250, o frazione di euro 250, di pena pecuniaria per un giorno di pena detentiva". A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal suddetto decreto, salvo che le stesse non sostituiscano le pene accessorie corrispondenti.
I reati previsti dal decreto privacy
Il decreto fa rientrare nel sistema penale e seguenti reati:
a) trattamento illecito dei dati;
b) comunicazione, diffusione dei dati illecita;
c) acquisizione fraudolenta di dati;
d) false dichiarazioni al Garante;
e) interruzione dell'esercizio dei poteri del Garante;
f) inosservanza dei provvedimenti del Garante.
Allo stato attuale, dall'interpretazione fornita dal Garante, si evince che i soggetti interessati ai procedimenti sanzionatori in questione che non abbiano ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento gi� pendente a quella data, possano procedere nella definizione agevolata, corrispondendo l'ammontare ridotto dei due quinti del minimo edittale previsto per la sanzione emessa nei loro confronti, nelle modalit� indicate dalla stessa Autorit� Garante. Si auspica una interpretazione netta da parte dell'autorit�.
Le novit� del decreto privacy
Le principali nativit� del decreto privacy di adeguamento al Gdpr sono le seguenti:
a. Le definizioni principali restano invariate, ma sono state introdotte sia il dato genetico sia il dato biometrico, che nel Codice erano ricomprese nel novero dei dati relativi alla salute (ex art. 2 �septies - Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute).
b. Il diritto comunitario vede ampliato il proprio perimetro di applicazione, arrivando a comprendere anche i trattamenti di dati personali non svolti nella Unione Europea ma, comunque, relativi all'offerta di beni o servizi a cittadini comunitari o tali da consentire il monitoraggio dei comportamenti dei cittadini della UE.
c. Viene introdotto il diritto degli interessati alla portabilit� del dato, da impiegare nell'ipotesi in cui si volesse trasferire i propri dati dal un social network ad un altro. Viene, altres�, introdotto il diritto all'oblio, che consente all'interessato di decidere quali informazioni possano continuare a circolare, dopo un determinato periodo di tempo. Il suddetto diritto non ha una valenza di diritto assoluto ma contemperato con: il rispetto degli obblighi di legge, la garanzia di esercizio della libert� di espressione e dei dati necessari alla ricerca storica.
d. Viene meno l'obbligo in capo ai titolari di notificare i trattamenti di dati personali, che � sostituito da quello di nominare il Responsabile della protezione dei dati (data protection officer) per tutti i soggetti pubblici e per i privati, il cui trattamento dei dati rientri nelle fattispecie di legge.
e. E' inserito il requisito della valutazione di impatto (ci� significa che gi� nel momento in cui il Titolare valuta la possibilit� di effettuare un trattamento, il medesimo dovr� contestualmente predisporre una valutazione d'impatto anche in ambito privacy (Privacy Impact Assessment- PIA), oltre al principio di privacy by design, che richiede la previsione di misure a protezione dei dati gi� al momento della progettazione di un prodotto o di un software.
f. E' obbligatorio per tutti i titolari del trattamento di notificare all'Autorit� competente (in Italia al Garante per la protezione dei dati personali) le violazioni dei dati personali (data breach).
g. Ulteriore elemento di novit� � rappresentato dall'attribuzione al Garante di poteri anche sanzionatori e al rafforzamento della sua indipendenza, il cui parere sar� indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati.
Il Decreto:
- definisce cosa si intenda per comunicazione e diffusione dei dati personali;
- individua nel Garante della privacy l'autorit� incaricata del controllo e della promozione delle regole deontologiche in materia;
- apporta modifiche alla parte II, titolo VIII del decreto n.196/2003, in merito ai trattamenti nell'ambito del rapporto di lavoro (regole deontologiche per il trattamento dei dati e informazioni in caso di ricezione di curriculum vitae);
- stabilisce che il consenso al trattamento dei dati personali potr� essere espresso solo al compimento dei 14 anni di et�. Chi ha un'et� inferiore necessita del consenso di chi esercita la sua responsabilit� genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
- tutti gli organi giudiziari avranno l'obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
- dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalit� per l'accesso selettivo ai dati;
- le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalit� di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanit�;
- e' ammesso l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;
- al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
- viene introdotto il concetto di diritto all'eredit� del dato in caso di decesso, con l'introduzione di una norma che consente di disporre post mortem dei propri dati caricati, nei servizi informativi delle societ�;
- viene data la possibilit� (su autorizzazione dell'interessato) di comunicare i dati personali degli studenti universitari, per favorirne l'inserimento nel mondo del lavoro, la formazione e l'orientamento professionale;
- come forma di tutela alternativa, viene introdotto il reclamo al Garante, ex art.39 , alternativo al ricorso in tribunale.