Privacy, ecco il nuovo decreto

Punita l’acquisizione fraudolenta e la diffusione di ingenti dati personali; a 16 anni il consenso dei minori per la rete; la sanità perde l’obbligo del consenso e oblazione in vista delle violazioni amministrative del vecchio codice della privacy. Codice che, seppure, amputato in larga parte, rimane in piedi. Viene, tra l’altro, abrogato integralmente l’allegato B sulle misure minime di sicurezza (la violazione delle quali non costituisce più reato). Sono alcuni dei punti dello schema del decreto legislativo di armonizzazione dell’ordinamento italiano al regolamento Ue sulla protezione dei dati (n. 2016/679), operativo dal 25 maggio 2018. Lo schema di decreto, che entrerà in vigore la stessa data, già approvato in via preliminare il 21 marzo 2018, ha subito più di una stesura, ma l’ultima bozza di cui si sintetizza qui il contenuto, con ogni probabilità verrà bollinata a giorni dalla ragioneria generale dello Stato e successivamente trasmessa in Parlamento per l’acquisizione dei pareri delle competenti commissioni parlamentari. L’ultima bozza è decisamente diversa dalla prima che è circolata tra gli addetti ai lavori. La novità più eclatante riguarda il contenitore delle norme: dalla completa abrogazione del codice della privacy (Dlgs 196/2003) si passa a una abrogazione chirurgica, anche se molto estesa e a una vasta operazione di sostituzione e integrazione di disposizioni. Alcune di queste sono la riproposizione di analoghe disposizioni del codice della privacy. Chi deve applicare la privacy si trova, dunque, di fronte a un quadro di norme sparse qua e là senza una fonte unificante. E ancora non è finita, visto che su alcuni pezzi importanti, come le autorizzazioni generali del garante, si apre una stagione di verifica della compatibilità. Ancora, ci potranno essere codici etici e infine continuano ad applicarsi i provvedimenti del garante adottati in 22 anni di privacy all’italiana, in quanto compatibili con il regolamento Ue e con le disposizioni del decreto di armonizzazione. Vediamo, dunque, di tratteggiare alcune delle novità e delle pseudo novità.

Oblazioni e depenalizzazioni
Il regolamento Ue 2016/679 afferma il principio per cui non si può punire due volte (con una sanzione penale e con una sanzione amministrativa) una stessa violazione. Ma se la prima bozza traduceva questo principio con una depenalizzazione a tappeto di tutti i reati previsti dal codice della privacy, l’ultima bozza ripropone una sezione penale, di cui entrano a far parte nuovi illeciti, come l’acquisizione fraudolenta di dati personali e la comunicazione e la diffusione illecita di dati personali riferibili a un ingente e rilevante numero di persone. Una norma ad hoc riguarda i procedimenti pendenti per i vecchi illeciti amministrativi, non arrivati a conclusione con l’adozione da parte del garante di un’ordinanza di ingiunzione di pagamento: chi vorrà potrà saldare il conto pagando i due quinti del minimo edittale. Per le sanzioni amministrative previste dal regolamento Ue 2016/679 in Italia le norme di procedura sono quelle della legge 689/1981. Rimane il fatto che avremo illeciti amministrativi puniti con due fasce di sanzioni per cui è individuato solo il massimo cioè 10 e 20 milioni di euro, senza predeterminazione del minimo. Una situazione questa che, quand’anche legittima, è assolutamente iniqua, perché accomuna sul piano edittale sia sanzioni lievi che gravi, sia sanzioni formali che sanzioni lesive di interessi sostanziali. Il problema beninteso non è la mancanza del minimo, ma la mancata graduazione legislativa di diversi livelli massimi in corrispondenza di livelli di gravità diversi e senza che a ciò possa sopperire il prudente uso del potere di graduazione che in concreto sarà adottato da parte del garante della privacy.

Minori
In relazione a servizi della società dell’informazione (app e servizi su Internet), il legislatore italiano fissa a 16 anni l’età valida per fornire il proprio consenso (nella prima bozza era fissato a 14 anni). Vi è da chiedersi, in generale, perché mai i minori di età siano trattati come i maggiorenni e non abbiano tutele ulteriori già con riferimento all’espressione del consenso.

P.A.
Si conferma che la P.A. non deve chiedere il consenso e che tratta dati in base alla legge. In base alle disposizioni sopravvivono i regolamenti sul trattamento di dati sensibili, già adottati e aggiornati da tutti gli enti pubblici.

Sanità
Le norme sulla privacy sanitaria dello schema di decreto legislativo di coordinamento perdono tutte le disposizioni sul consenso. D’altra parte il regolamento Ue 2016/679 (articolo 9) prevede per il trattamento dei dati sanitari presupposti diversi dal consenso.

Morti
Rivive la tutela dei dati delle persone decedute. È una materia lasciata dall’Europa ai singoli Stati e l’Italia mantiene ferma la disposizione sulla disciplina dei dati riferiti a persone defunte.

Delegati interni
Si ufficializza la possibilità di designare personale interno per attribuire specifici compiti e funzioni: non sono i responsabili interni (non previsti dal regolamento Ue), ma ci somigliano molto.

Le novità del decreto

Tratta dati solo in base alla legge

Da 16 anni possono esprimere il consenso per servizi della società dell’informazione

Compatibili i regolamenti sui dati sensibili

Misure di garanzia da parte del Garante

Limitato dal diritto di difesa

Diritti esercitabili dagli interessati

Possibile designare interni per compiti specifici

Abrogate disposizioni su consenso

Deciso entro nove mesi

Ammesse per promuovere attività d’ufficio

Si applica la legge 689/1981

  1. Illecito trattamento di dati sensibili, genetici, biometrici e acquisizione fraudolenta di dati personali
  2. Illeciti sul trasferimento di dati all’estero
  3. Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone
  4. Falsità nelle dichiarazioni al garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del garante

Oblazione pari ai 2/5 del minimo per chiudere le violazioni amministrative pendenti

Semplificazioni con provvedimento del Garante

Entro 90 giorni verifica da parte del Garante

Si applicano corrispondenti sanzioni amministrative

Articoli correlati

Gps sotto il segno della privacy
Fornitura di apparecchi elettronici in linea con la privacy. Chi vende prodotti e sistemi deve preoccuparsi della conformità alle regole sulla protezione dei dati. Le norme del Regolamento Ue sulla...
Scopri di più
Le “autorizzazioni generali” al vaglio del Garante privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva per...
Scopri di più
In Gazzetta il riordino delle regole sulla privacy
Il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati personali con il nuovo regolamento sulla privacy entrerà in vigore il prossimo 19 settembre. È l’effetto della pubblicazione...
Scopri di più
Privacy, bella e impossibile
Se è vero che la gestione dei dati è il petrolio del prossimo futuro, la sua tutela dovrebbe essere una priorità per i legislatori. Invece fa acqua da tutte le...
Scopri di più
La privacy impone il Registro dei dati nelle aziende con più di 250 dipendenti
Grandi aziende chiamate a redigere il registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal regolamento europeo per la protezione dei dati personali, in vigore dal...
Scopri di più
I consigli privacy per le vacanze, droni in spiaggia con cautela
Attenti al drone: non deve diffondere i visi di persone riconoscibili; attenti al wi-fi: se non protetto, carpisce dati sensibili; attenti ai minori: meglio non postare immagini su social network....
Scopri di più
Privacy, dipendenti tracciabili
Tracciabilità dello smartphone possibile, in alcuni casi anche senza consenso; ma con garanzie per i lavoratori e i terzi. È uno degli aspetti che emerge dalla relazione del 2017 del...
Scopri di più
Privacy, 140 cyberattacchi al giorno. Denunce di data breach a +500%
A maggio gli attacchi informatici hanno toccato la soglia di 140 al giorno e nell’ultimo mese le comunicazioni di data breach al Garante della privacy sono aumentati di oltre il...
Scopri di più
Reclamo gratuito all’Authority
Se l’istanza di esercizio dei diritti, non va a buon fine, l’interessato può alternativamente rivolgersi al Garante o al tribunale. Nel caso in cui ci si rivolga all’autorità amministrativa, la...
Scopri di più
Privacy, imprese in allerta
Il reclamo privacy al Garante è gratis: per far valere i diritti previsti dal regolamento Ue 2016/679 sulla protezione dei dati non si pagano diritti di segreteria. Enti pubblici e...
Scopri di più
Privacy, una tutela facile facile
Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla....
Scopri di più
Una procedura per gestire la violazione dei dati
Il decreto legislativo 196/2003 prevedeva che la notificazione all’autorità garante di una violazione dei dati avvenisse solo a fronte di specifiche situazioni. Il nuovo regolamento europeo invece impone una notificazione...
Scopri di più
L’avvocato ai margini del Gdpr
Gli avvocati non devono essere nominati responsabili esterni del trattamento. Anche a seguito dell’applicazione del regolamento Ue sulla privacy n. 2016/679, con riferimento all’attività forense, il rapporto con il cliente...
Scopri di più
Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore. È una delle esigenze che si manifestano...
Scopri di più
L’antiriciclaggio limita la privacy
I dati acquisiti e archiviati dai soggetti tenuti alla adeguata verifica ai fini antiriciclaggio prevalgono sul diritto alla privacy e all’oblio. Dal 25 maggio 2018 è divenuto pienamente applicabile nel...
Scopri di più
PC dei dipendenti controllabili per tutelare i beni aziendali
Il controllo datoriale attraverso un’indagine retrospettiva di carattere informatico sull’utilizzo del computer in dotazione al dipendente, da cui si era riscontrato un utilizzo del bene aziendale per finalità extra lavorative,...
Scopri di più
Privacy, caccia al responsabile
In arrivo nelle scuole il responsabile della protezione dei dati personali, previsto dal nuovo regolamento europeo sulla privacy (Ue/2016/679) in vigore dal 25 maggio. A pochi giorni dall’entrata in vigore...
Scopri di più
Sanzioni privacy senza contraddittorio
L’iter di approvazione del decreto “si concluda quanto prima, in modo da assicurare ai titolari del trattamento il necessario riordino”. Sono parole contenute nel documento depositato lo scorso 31 maggio...
Scopri di più
Privacy, modello per i reclami
Pronti da usare il modello di reclamo e il modello di esercizio dei diritti di privacy, aggiornati al Regolamento Ue 2016/679 sulla protezione dei dati personali. Sono stati messi a...
Scopri di più
La salute non chiede il consenso
Il consenso per la privacy sanitaria è sul viale del tramonto o almeno è quello cui si profila a dare credito la bozza di decreto di armonizzazione della legislazione italiana...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X