Le novità del D. Lgs. 101/2018

Il 19 settembre 2018 è entrato in vigore il D. Lgs. 101 del 10 agosto 2018, che ha adeguato il Codice della Privacy (D. Lgs. 196/2003), armonizzandolo al nuovo Regolamento europeo 2016/679, normativa che resta comunque prevalente alla legge nazionale, salvo diverse e specifiche indicazioni.

L'adeguamento ha comportato innanzitutto l'abrogazione di numerosi articoli del Codice, la conferma dei princìpi del Regolamento e qualche modifica.

Viene ad esempio abolito l'"Allegato B" del Codice che prevedeva un elenco di "Misure minime di sicurezza" da adottare obbligatoriamente da parte di ogni Titolare del trattamento dati. Con la nuova disciplina introdotta dal Regolamento UE, infatti, si parla più correttamente di "Misure adeguate di sicurezza", misure tecniche ed organizzative che devono essere conformi alla normativa in materia di protezione dati, ma che è compito del Titolare definire concretamente con un approccio basato sulla valutazione del rischio, assumendosi la responsabilità del proprio operato in base al principio di "accountability" aziendale.

Tra le principali disposizioni del Regolamento ribadite nel Decreto ci sono quelle relative alle informative (ribattezzate "informazioni") e alla necessità (nei casi previsti) della "valutazione di impatto" e della nomina del D.P.O. Si conferma inoltre la necessità delle figure dei responsabili e degli autorizzati a vario titolo al trattamento (denominati "designati"), oltre a riaffermare tutti gli altri princìpi basilari del Regolamento, dalla redazione del Registro dei Trattamenti alla notifica di eventuali "data breach" (violazione dei dati) al Garante italiano per la protezione dei dati personali.

Proprio al Garante viene demandato il potere di emanare provvedimenti di semplificazione in materia di trattamento dati per le piccole e media imprese, promuovendo linee guida "ad hoc", nel rispetto del Regolamento e del nuovo Codice. Vengono inoltre espressamente previsti codici deontologici rivolti anche ai datori di lavoro privati interessati al trattamento dei dati personali.

In materia di trattamento di dati particolari (sensibili) per ragioni di interesse pubblico, il Decreto individua come rilevanti l'instaurazione, gestione ed estinzione di rapporti di lavoro di qualunque tipo, anche non retribuito e l'adempimento degli obblighi retributivi, fiscali e contabili, di igiene e sicurezza del lavoro o di sicurezza. In questi casi quindi il datore di lavoro può pertanto trattare dati sensibili anche senza l'acquisizione del consenso del lavoratore, purché il trattamento sia proporzionato alla finalità perseguita, rispetti il Regolamento ed il Codice e preveda misure appropriate e specifiche per tutelare i diritti fondamentali dell'interessato.

Il Decreto ribadisce poi la cautela nel trattamento dei dati relativi a condanne penali prevista nel Regolamento, trattamento consentito solo se autorizzato da una norma di legge, di regolamento o di decreto emanato dal Ministero della giustizia. Pertanto attualmente, salvo alcuni casi sporadici (attività lavorative a contatto coi minori, assunzione di guardie giurate ecc.) dove già la legge prevede come obbligatoria l'acquisizione del casellario giudiziale per poter costituire il rapporto, in tutti gli altri casi in cui il datore di lavoro gestisca dati penali per altre finalità, tali trattamenti non saranno più consentiti senza autorizzazione. Tra le casistiche ammesse ad autorizzazione di legge rientrano: l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro; l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; l’esercizio del diritto di accesso ai dati o ai documenti amministrativi, ecc.

Tra le principali novità introdotte dal D. Lgs. 101/2018 c'è la semplificazione nella gestione dei curriculum ricevuti. Viene meno infatti la necessità del consenso per il trattamento dei dati contenuti nei curriculum spontaneamente inviati in vista di una possibile assunzione e l'informativa al trattamento deve essere fornita agli interessati solo in occasione del primo contatto tra le parti.

Inoltre il limite minimo di età per la validità del consenso espresso per i servizi della società dell'informazione (social network, messaggistica ecc.) viene abbassato a 14 anni (facoltà già prevista dal Regolamento). Ovviamente la possibilità di esprimere valido consenso al trattamento dati non implica la possibilità di stipulare legalmente contratti di servizio, possibilità che rimane comunque fissata alla maggiore età.

Viene poi definito il diritto all’eredità dei dati dei soggetti deceduti, che può essere esercitato da chi ha un interesse proprio o agisce a tutela dell’interessato come mandatario o per ragioni di famiglia meritevoli di protezione.

Nel Decreto infine vengono ridefinite le sanzioni penali che il Regolamento UE aveva appunto demandato alle leggi nazionali. Tra i nuovi reati introdotti ci sono la comunicazione e la diffusione illecita di dati personali su larga scala, l’acquisizione fraudolenta di dati personali su larga scala, la falsità nelle dichiarazioni, l'interruzione o turbativa durante un procedimento davanti al Garante.

Concludendo questa breve sintesi, il Codice della Privacy è stato armonizzato al Regolamento europeo ed ora gli adempimenti a carico delle aziende italiane sono meglio definiti, ma la materia rimane ancora in via di evoluzione, anche in vista dei prossimi provvedimenti semplificativi ed integrativi che il Decreto ha espressamente demandato all'Authority nazionale.

------

(07/10/18, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Short url: tinyurl.com/nuovocodice

 

10118