Data: 22/12/2018 10:50:00 - Autore: Monia Vasta
di Monia Vasta - Il testo del Decreto di adeguamento al Gdpr pubblicato nella Gazzetta Ufficiale è entrato in vigore il 19 settembre 2018, a decorrere da tale data, tutti coloro che non si adegueranno alle predette norme rischieranno sanzioni amministrative, che si applicheranno anche alle violazioni commesse prima che il decreto entrasse in vigore.

Gdpr: l'interpretazione del decreto 101 da parte del Garante

Su punto però vi sono diverse incongruenze di interpretazione da parte del Garante, infatti l'art. 18 del D.lgs. n°101/18, recita (il testo in G.U.):

"In deroga all'articolo 16 della legge 24 novembre 1981, n. 689, per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all'articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione, è ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Fatti salvi i restanti atti del procedimento eventualmente già adottati, il pagamento potrà essere effettuato entro novanta giorni dalla data di entrata in vigore del presente decreto".

Nel testo si evince che il pagamento, in misura ridotta, delle sanzioni riguarda "i procedimenti sanzionatori […] che, alla data di applicazione del Regolamento (25 maggio 2018), risultino non ancora definiti con l'adozione dell'ordinanza ingiunzione".

I soggetti che possono beneficiare di tale norma e che possono usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante, sono coloro i quali non abbiano ancora ricevuto un'ordinanza ingiunzione relativa a un procedimento pendente alla data di entrata in vigore dalla norma.

Il Garante ha voluto fornire una lettura interpretativa alle domande poste più frequentemente (consultabili sul sito istituzionale), nonostante le spiegazioni siano difformi.

Definizione agevolata sanzioni privacy

Ad esempio alla medesima domanda posta: "Chi può usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante?" , l'Autorità si esprime in tal senso:

"I contravventori che abbiano ricevuto, entro la data del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata di cui all'art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter,163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del Codice, hanno la facoltà di definire i suddetti procedimenti mediante il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale previsto per la sanzione (cfr. art. 18 del decreto legislativo n.101 del 10 agosto 2018).

Va precisato inoltre che, poiché il citato articolo 18 del d.lgs.101/2018 prevede che siano "fatti salvi i restanti atti del procedimento eventualmente già adottati", la suddetta facoltà di definizione agevolata non è ammessa qualora il procedimento sanzionatorio si sia nel frattempo concluso con l'adozione di un provvedimento di ordinanza-ingiunzione da parte del Garante".

L'ambito di applicabilità (o, di "legittimazione attiva" ad usufruire della procedura summenzionata) riguarderebbe, i soli contravventori che abbiano ricevuto, prima del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata ex art. 18 della L. n°689/81.

L'art. 18 del D.lgs. n°101/18 sembra ammettere piuttosto la possibilità di definizione agevolata, per chiunque non abbia ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento già pendente, a quella data, nei suoi confronti, e non solo per i contravventori che abbiano ricevuto gli atti sopra indicati.

Tale considerazione mette in luce una differenza sostanziale rispetto a quanto dedotto dall'Autorità, in relazione alla successiva precisazione di questa, laddove in senso apparentemente contraddittorio a quanto affermato dal testo della legge, alla domanda n°12 delle stesse FAQ che recita:

"Ho ricevuto un atto di contestazione successivamente al 25 maggio 2018 ma relativo a violazioni commesse prima di tale data. Posso usufruire della definizione agevolata prevista dal decreto n°101/2018?"

A tale quesito l'Autorità risponde in senso negativo, sottolineando che: " chi ha ricevuto un atto di contestazione successivamente al 25 maggio 2018, ma relativo a violazioni commesse prima di tale data, non può usufruire della definizione agevolata prevista dal decreto n°101/2018 e ciò poiché, l'art. 18 del decreto n. 101/2018 prevede la facoltà di definizione agevolata della violazioni solo per "i procedimenti sanzionatori […] che, alla data di applicazione del Regolamento [25 maggio 2018], risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione".

Nell'art. 18 del D.lgs. 101/2018, né nei successivi sussiste, alcuna specificazione sull'accessibilità alla procedura di definizione agevolata, riguardante le diverse categorie dei contravventori, pur citate dall'Autorità nelle proprie FAQ, né è riscontrabile alcuna differenziazione in merito tra soggetti che abbiano ricevuto gli atti citati nelle stesse FAQ o meno.

Ai fatti commessi prima della data di entrata in vigore del decreto non può essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena, originariamente prevista od inflitta per il reato, tenuto conto del ragguaglio dell'art.135 c.p. "Quando, per qualsiasi effetto giuridico, si deve eseguire un ragguaglio fra pene pecuniarie e pene detentive, il computo ha luogo calcolando euro 250, o frazione di euro 250, di pena pecuniaria per un giorno di pena detentiva". A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal suddetto decreto, salvo che le stesse non sostituiscano le pene accessorie corrispondenti.

I reati previsti dal decreto privacy

Il decreto fa rientrare nel sistema penale e seguenti reati:

a) trattamento illecito dei dati;

b) comunicazione, diffusione dei dati illecita;

c) acquisizione fraudolenta di dati;

d) false dichiarazioni al Garante;

e) interruzione dell'esercizio dei poteri del Garante;

f) inosservanza dei provvedimenti del Garante.

Allo stato attuale, dall'interpretazione fornita dal Garante, si evince che i soggetti interessati ai procedimenti sanzionatori in questione che non abbiano ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento già pendente a quella data, possano procedere nella definizione agevolata, corrispondendo l'ammontare ridotto dei due quinti del minimo edittale previsto per la sanzione emessa nei loro confronti, nelle modalità indicate dalla stessa Autorità Garante. Si auspica una interpretazione netta da parte dell'autorità.

Le novità del decreto privacy

Le principali natività del decreto privacy di adeguamento al Gdpr sono le seguenti:

a. Le definizioni principali restano invariate, ma sono state introdotte sia il dato genetico sia il dato biometrico, che nel Codice erano ricomprese nel novero dei dati relativi alla salute (ex art. 2 –septies - Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute).

b. Il diritto comunitario vede ampliato il proprio perimetro di applicazione, arrivando a comprendere anche i trattamenti di dati personali non svolti nella Unione Europea ma, comunque, relativi all'offerta di beni o servizi a cittadini comunitari o tali da consentire il monitoraggio dei comportamenti dei cittadini della UE.

c. Viene introdotto il diritto degli interessati alla portabilità del dato, da impiegare nell'ipotesi in cui si volesse trasferire i propri dati dal un social network ad un altro. Viene, altresì, introdotto il diritto all'oblio, che consente all'interessato di decidere quali informazioni possano continuare a circolare, dopo un determinato periodo di tempo. Il suddetto diritto non ha una valenza di diritto assoluto ma contemperato con: il rispetto degli obblighi di legge, la garanzia di esercizio della libertà di espressione e dei dati necessari alla ricerca storica.

d. Viene meno l'obbligo in capo ai titolari di notificare i trattamenti di dati personali, che è sostituito da quello di nominare il Responsabile della protezione dei dati (data protection officer) per tutti i soggetti pubblici e per i privati, il cui trattamento dei dati rientri nelle fattispecie di legge.

e. E' inserito il requisito della valutazione di impatto (ciò significa che già nel momento in cui il Titolare valuta la possibilità di effettuare un trattamento, il medesimo dovrà contestualmente predisporre una valutazione d'impatto anche in ambito privacy (Privacy Impact Assessment- PIA), oltre al principio di privacy by design, che richiede la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.

f. E' obbligatorio per tutti i titolari del trattamento di notificare all'Autorità competente (in Italia al Garante per la protezione dei dati personali) le violazioni dei dati personali (data breach).

g. Ulteriore elemento di novità è rappresentato dall'attribuzione al Garante di poteri anche sanzionatori e al rafforzamento della sua indipendenza, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati.

Il Decreto:

  • definisce cosa si intenda per comunicazione e diffusione dei dati personali;
  • individua nel Garante della privacy l'autorità incaricata del controllo e della promozione delle regole deontologiche in materia;
  • apporta modifiche alla parte II, titolo VIII del decreto n.196/2003, in merito ai trattamenti nell'ambito del rapporto di lavoro (regole deontologiche per il trattamento dei dati e informazioni in caso di ricezione di curriculum vitae);
  • stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età. Chi ha un'età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
  • tutti gli organi giudiziari avranno l'obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
  • dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l'accesso selettivo ai dati;
  • le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità;
  • e' ammesso l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;
  • al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
  • viene introdotto il concetto di diritto all'eredità del dato in caso di decesso, con l'introduzione di una norma che consente di disporre post mortem dei propri dati caricati, nei servizi informativi delle società;
  • viene data la possibilità (su autorizzazione dell'interessato) di comunicare i dati personali degli studenti universitari, per favorirne l'inserimento nel mondo del lavoro, la formazione e l'orientamento professionale;
  • come forma di tutela alternativa, viene introdotto il reclamo al Garante, ex art.39 , alternativo al ricorso in tribunale.

Tutte le notizie