Il nuovo codice privacy dopo il D.Lgs n.101/2018

di Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

Il 04 Settembre 2018 è stato pubblicato in GU il Decreto Legislativo 10 agosto 2018, n.101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/ CE (regolamento generale sulla protezione dei dati).” Il D.Lgs n.101/2018, nell’adeguare il D.Lgs n.196/2003 - conosciuto anche come “Codice della Privacy” - alle disposizioni del regolamento UE, ha dovuto tenere in considerazione la circostanza che il D.Lgs n. 196/2003 e il Regolamento UE 2016/679 hanno un approccio al tema della “privacy” completamente differente.

Il Regolamento, come noto, si fonda sul principio dell’accountability (c.d. “responsabilizzazione”), consistente nell’obbligo per il titolare del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, nonché nella necessità di dimostrare, su richiesta, che siano state adottate misure appropriate ed efficaci. Il Codice della privacy dettava, invece, direttamente alcune misure (minime) alle quali il titolare del trattamento doveva uniformarsi. Il D.Lgs n.101/2018 (art. 2 septies) reintroduce le misure di sicurezza (c.d. “misure di garanzia”) per i soli dati genetici, biometrici e relativi alla salute, prevedendo che tali misure siano individuate dal Garante in un provvedimento ad hoc da aggiornare ogni due anni.

UNA LINEA DI CONTINUITÀ

Nel comunicato ufficiale del Governo si legge che “il decreto legislativo, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei tali dati. Dopo l’esame da parte di una commissione appositamente costituita, si è deciso, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio dell’accountability. Si è scelto di garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.” Va subito precisato che Il decreto legislativo n.101 non modifica il Regolamento UE 2016/679 (c.d RGPD o GDPR), ma intervenire in specifiche aree, quali il trattamento dei dati particolari (sensibili), giudiziari, genetici e biometrici, i diritti dei minori e dei defunti, la disciplina dei codici di deontologia e buona condotta di cui al Codice Privacy e, infine, la ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dalla materia. Sotto quest’ultimo profilo vengono introdotte nuove fattispecie di reato, quali il trattamento illecito di dati, la comunicazione e la diffusione illecita di dati personali su larga scala, l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante, l’interruzione dell’esecuzione di compiti e poteri del Garante, l’inosservanza dei provvedimenti del Garante.

SANZIONI... GRADUALI

Infine, il D.Lgs n.101/2018 prevede un periodo di otto mesi nel corso dei quali l’approccio dell’Autorità Garante nell’applicazione delle sanzioni amministrative introdotte dal GDPR dovrà essere graduale. Non significa moratoria o sospensione dell’attività sanzionatoria dell’Autorità Garante, ma applicazione delle sanzioni secondo i canoni della ragionevolezza e della prudenza, che potremmo esprimere secondo la nota locuzione latina di Plinio il Vecchio: cum grano salis.