Il testo del decreto privacy attuativo del GDPR è stato pubblicato in Gazzetta Ufficiale del 4 settembre 2018: sarà il Garante a dover promuovere misure di semplificazione per le PMI. Le novità saranno in vigore dal 19 settembre.
Il testo del decreto italiano sulla privacy per l’adeguamento al GDPR è stato pubblicato in Gazzetta Ufficiale del 4 settembre 2018.
L’atteso decreto attuativo di armonizzazione delle regole sulla privacy al Regolamento UE 2016/679 recepisce le numerose novità in materia di tutela dei dati personali stabilite dal GDPR.
Il decreto legislativo n. 101 del 10 agosto 2018 conferma le misure di semplificazione per le micro, piccole e medie imprese, per le quali dovrà tuttavia esprimersi il Garante per la protezione dei dati personali, promuovendo modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Chiarimenti anche in materia di sanzioni amministrative e penali previste in caso di violazione delle novità previste dal GDPR. In base a quanto previsto dal testo del nuovo decreto, è stabilita la possibilità – per i provvedimenti non ancora definiti con l’adozione dell’ordinanza di ingiunzione – di pagare la sanzione in misura ridotta (pari a due quinti del minimo) entro il termine di 90 giorni dalla data di entrata in vigore del decreto attuativo.
Inoltre, per le violazioni commesse anteriormente alla data di entrata in vigore del decreto, potranno essere applicate le sanzioni amministrative sostitutive delle sanzioni penali previste dall’ex Codice Privacy qualora il procedimento penale non sia ancora stato definito con sentenza o decreto irrevocabili.
L’insieme delle nuove regole sulla privacy si rivela particolarmente complesso e per il GDPR, ormai in vigore dal 25 maggio 2018, sarà l’Autorità Garante a dire l’ultima parola con l’insieme delle disposizioni attuative previste dal decreto attuativo italiano.
Privacy, le novità nel testo del decreto attuativo GDPR pubblicato in Gazzetta Ufficiale del 4 settembre 2018
Sebbene molte delle misure dovranno essere attuate dal Garante per la Privacy, nel testo del decreto legislativo n. 101 del 10 agosto 2018, pubblicato in Gazzetta Ufficiale del 4 settembre e in vigore a partire dal giorni 19, sono contenute alcune rilevanti novità.
Una di queste riguarda le regole in merito agli obblighi del titolare del trattamento nei casi di ricezione di curriculum finalizzati all’instaurazione di un rapporto di lavoro. Le informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) dovranno essere fornite al momento del primo contatto utile successivo all’invio.
Tra le novità, il decreto privacy 2018 dispone che per i dati relativi alle persone decedute, i diritti di accesso e di portabilità dei dati (articoli 15 e 22 del GDPR) potranno essere ereditati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
L’interessato potrà espressamente vietare questa possibilità, presentando dichiarazione scritta al titolare del trattamento, senza incidere sull’esercizio dei diritti patrimoniali di terzi in caso di decesso o di difesa dei propri interessi in giudizio.
Per i minori di quattordici anni, inoltre, il consenso al trattamento dei dati personali dovrà essere esercitato da chi ne esercita la responsabilità genitoriale.
Sanzioni privacy in chiaro nel decreto di adeguamento al GDPR
Particolarmente attese le disposizioni di adeguamento contenute nel decreto attuativo relative alle sanzioni previste dal GDPR.
Le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo, in relazione alle violazioni degli obblighi chiariti dal decreto di adeguamento.
Sarà il Garante ad adottare, in tali casi, sia i provvedimenti correttivi che le sanzioni previste dall’articolo 83 del GDPR e l’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di apposito reclamo o ad automa iniziativa del Garante nonché a seguito di accessi o ispezioni della Guardia di Finanza.
In caso di adozione di provvedimento sanzionatorio, l’impresa potrà inviare le proprie difese o chiedere di essere sentito dal Garante entro il termine di trenta giorni. Per quanto riguarda il procedimento che porterà all’adozione dei provvedimento sulle sanzioni, dovrà essere l’Autorità Garante a doversi esprimere.
Se sulle sanzioni amministrative pecuniarie erano chiari i rischi per le imprese, particolare rilevanza assummono i chiarimenti in merito alle sanzioni penali.
In caso di trattamento illecito dei dati, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato è punito con la reclusione da sei mesi a un anno e sei mesi.
Reclusione da uno a tre anni, invece, in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti.
Rimandando al testo del decreto attuativo per i dettagli, si sottolinea come il GDPR abbia riscritto l’insieme delle sanzioni penali previste in caso di violazione dei diritti sulla privacy. È previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti del Garante.
Come sopra anticipato, è prevista la possibilità di definizione agevolata dei processi pendenti per le violazioni amministrative. Infine, le disposizioni del decreto che sostituiscono sanzioni penali con le sanzioni amministrative previste dal Regolamento (UE) 2016/679 si applicano anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.