È stato pubblicato nella Gazzetta Ufficiale il 4 settembre 2018 (ed entrerà quindi in vigore il 19 settembre 2018) l’atteso Decreto attuativo del GDPR (Regolamento UE 2016/679, già in vigore dal 25 maggio 2018) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Conformemente a quanto stabilito all’art. 13 della Legge di delegazione europea 2016-2017 (Legge n. 163 del 25 ottobre 2017) con il D.Lgs 101 si è proceduto alla novellazione – non già all’abrogazione e sostituzione integrale – del cd. Codice Privacy di cui al D.Lgs n. 193 del 2003 e successive modificazioni.
Il Codice Privacy di cui al D.Lgs n. 193 del 2003 – tutt’altro che abrogato (come pur inizialmente proposto da un ufficioso schema di decreto attuativo che era trapelato nella scorsa primavera) – viene quindi ad essere integrato con le disposizioni del Regolamento 2016/679 (applicabili direttamente in ogni stato membro dell’Unione Europea a far data dal 25 maggio 2018) e, dal prossimo 19 settembre 2018, ulteriormente integrato dalle modifiche apportate dal D. Lgs n. 101 del 10 agosto 2018.
Un unico contesto normativo costituito, però, da più fonti regolatorie, cui andranno altresì ad aggiungersi i provvedimenti di dettaglio demandati al Garante della Privacy (con presumibili difficoltà interpretative almeno nel breve periodo).
Il pilastro portante di tale contesto normativo rimane il Regolamento europeo 2016/679 – fonte direttamente applicabile in ciascuno degli Stati membri, le cui norme interne debbono essere con esso compatibili e che vi possono derogare ove espressamente in esso previsto – le cui disposizioni vanno integrate con la normativa interna che, in Italia, è costituita dal Codice Privacy di cui al D.Lgs n. 193 del 2003 come da ultimo novellato con il D.Lgs 101/2018.
In quanto attuativo del Regolamento europeo già in vigore dal 25 maggio 2018, a stretto rigore di “novità” introdotte dal D.Lgs 101 potrebbe parlarsi solo per quelle disposizioni che non siano già previste dal Regolamento o che disciplinino aspetti che lo stesso Regolamento ha demandato alla libera potestà degli Stati membri.
Tra queste si annoverano ovviamente le disposizioni di natura penale (sulle quali la UE non ha alcuna facoltà di incidere, rimanendo riservate alla potestà legislativa di ciascuno degli Stati membri).
Nel capo del Codice relativo agli illeciti penali è stato completamente riscritto l’art. 167, al cui riguardo si osserva (salvo più puntuale verifica delle fattispecie di “Trattamento illecito dei dati” ivi ora sanzionate) che la novità più evidente risulta la possibile diminuzione di pena per il reato ove sia stata applicata e riscossa la sanzione amministrativa prevista per il medesimo fatto costituente trattamento illecito (con cumulo, quindi, di sanzioni amministrativa e penale).
Mediante l’introduzione dei nuovi artt. 167 bis e 167 ter, acquisiscono autonoma rilevanza penale, con previsioni sanzionatorie di apprezzabile asprezza, le fattispecie di “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” e di “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”.
Nel nuovo art. 168, accanto alla fattispecie di “falsità nelle dichiarazioni al Garante” già punita con reclusione da sei mesi a tre anni viene aggiunta quella di “interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” con autonoma sanzione fino a un anno di reclusione.
Un impianto sanzionatorio penale che, accanto a quello amministrativo (le cui sanzioni, si ricorda, possono arrivare a 20 milioni di Euro o al 4% del fatturato annuo globale) appare in linea con le istanze di severità emergenti dal Regolamento GDPR.
Quanto alle perplessità emerse tra gli operatori in relazione alla mancata previsione di un minimo edittale riguardo alle sanzioni amministrative, il D.Lgs 101 interviene prevedendo una definizione agevolata mediante adeguamento alle prescrizioni del Garante, ove impartite, e pagamento della metà della sanzione amministrativa irrogata.
Tra le altre novità, anche rispetto al Regolamento, attengono il trattamento dei dati relativi alle persone decedute al cui riguardo è stato disposto che i diritti dell’interessato (di cui agli articoli da 15 a 22 del GDPR) potranno essere “ereditati” da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. Fermo restando che l’interessato potrà (previamente) espressamente vietare questa possibilità, presentando dichiarazione scritta al titolare del trattamento, senza che ciò possa ovviamente incidere, in caso di decesso, sull’esercizio dei diritti patrimoniali di terzi o di difesa in giudizio dei relativi interessi.
Altresì, è stato ridotto (da 16) a 14 anni il limite di età entro cui il consenso al trattamento dei dati personali dei minori deve essere esercitato da chi ne abbia la responsabilità genitoriale.
Ancora, nel curriculum vitae inviato ai fini della instaurazione di un rapporto di lavoro non è più necessario esprimere il consenso al trattamento dei dati in esso contenuti, ma chi lo riceve deve fornire informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) al primo contatto utile successivo.
Altra novità di rilievo è il completo “depotenziamento” del meccanismo previsto dall’art. 1 comma 1022 della legge finanziaria 2018 (legge 2015/2017) – secondo cui un trattamento di dati personali fondato sull’interesse legittimo che prevedesse l’uso di nuove tecnologie o di strumenti automatizzati (tra cui le email) avrebbe potuto ritenersi autorizzato ove, previa comunicazione di esso al Garante della Privacy, quest’ultimo non avesse dato risposta entro i successivi quindici giorni lavorativi – meccanismo che “a decorrere dal 25 maggio 2018” (e quindi con effetto retroattivo) rimane applicabile esclusivamente ai trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni.
Un’analisi più puntuale delle altre modifiche al Codice Privacy – già di per sé esorbitante dai limiti del presente contributo – non potrà in ogni caso prescindere dal previo esame degli altri contributi contenutistici relativi, tra gli altri, alle linee guida pubblicate dal Comitato europeo per la protezione dei dati, alle regole o codici deontologici di condotta che verranno approvati dal Garante della Privacy, nonché alle autorizzazioni generali emesse o confermate dallo stesso Garante.
Ne deriva un contesto normativo ancora oggi fluido, i cui contorni e specificità potranno sperabilmente chiarirsi nei prossimi mesi, come palesemente confermato nello stesso D.Lgs 101 tra le cui norme transitorie figura disposto che: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.