Diritto e Fisco | Editoriale

Il nuovo codice della privacy

24 Ottobre 2018 | Autore:


> Diritto e Fisco Pubblicato il 24 Ottobre 2018



Il nuovo codice della privacy: il coordinamento e l’integrazione con il GDPR e le principali novità nel campo del trattamento dei dati personali.

Negli ultimi mesi ci sono state moltissime novità in tema di privacy: dal 19 settembre, in particolare, è entrato in vigore il decreto legislativo n. 101 del 2018 che ha modificato il codice della privacy per adeguarlo (così come previsto dalla legge) al già vigente regolamento generale sulla protezione dei dati (GDPR). In pratica, oggi, chi vuole avvicinarsi al mondo della privacy, e cercare di capire quali sono i criteri da rispettare, deve conoscere due testi legislativi: il GDPR ed il nuovo codice della privacy. Il regolamento generale sulla protezione dei dati (in vigore dal maggio 2018) è un atto (appunto un regolamento) che non necessita di alcun recepimento da parte dell’ordinamento italiano, in quanto è direttamente applicabile in Italia. Esso regola (in ambito europeo) la protezione dei dati e la loro libera circolazione ed obbliga l’Italia a modificare la propria normativa interna in modo da renderla compatibile con il nuovo regolamento. Il recente decreto è stato proprio lo strumento attraverso il quale (con abrogazioni, integrazioni e modifiche al vecchio codice) ha consentito alla normativa nazionale di adeguarsi a quella europea. In questo articolo analizzeremo proprio gli aspetti principali della riforma, il modo in cui il codice nazionale si è adeguato al GDPR ed i casi nei quali (in particolare in materie di competenza esclusiva nazionale) la nuova normativa non ha sostituito la precedente ma sono rimaste entrambe in vigore (in quanto compatibili). Il panorama delle regole che disciplinano la protezione dei dati personali necessita ancora di interventi per la sua definizione (in settori come la deontologia, i codici settoriali e i provvedimenti del garante). In attesa degli ulteriori sviluppi, vediamo le recenti e principali novità.

 Cos’è il Codice della privacy?

Il Codice per la protezione dei dati personali (comunemente chiamato codice della privacy) è in vigore dall’anno 2003 [1] e garantisce che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Nel corso degli anni, vi sono stati vari interventi legislativi finalizzati ad adeguare il codice all’evolversi della società e, soprattutto, alla normativa europea. Di recente, proprio a tal fine, è entrato in vigore il regolamento generale sulla protezione di dati (di cui si è discusso dettagliatamente nell’articolo General Data Protection Regulation) a cui l’Italia ha dovuto adeguarsi attraverso il nuovo codice della privacy, pubblicato in gazzetta ufficiale il 4 settembre 2018 [2], in vigore dal 19 settembre. L’Italia si è adeguata al GDPR, modificandolo ed integrandolo. Vediamo come.

La comunicazione e la diffusione dei dati personali

Il nuovo codice della privacy [3] recupera (diversamente da quanto previsto dal GDPR) le nozioni di comunicazione e diffusione dei dati, intendendo per:

  • comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati (diversi dall’interessato, dal rappresentante del titolare o dal responsabile nel territorio dell’Unione Europea, dalle persone autorizzate al trattamento dei dati personali in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione);
  • diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

I dati giudiziari, genetici, biometrici e relativi alla salute

Il nuovo codice della privacy ha previsto che:

  • il trattamento di dati relativi a condanne penali, reati e misure di sicurezza (nel vecchio codice chiamati dati giudiziari) è lecito (al di fuori del controllo della pubblica autorità) solo se autorizzato da una norma di legge (o, nei casi previsti dalla norma, di regolamento) che preveda garanzie adeguate per i diritti e le libertà degli interessati; in mancanza di leggi o regolamenti, il Ministero della giustizia deve provvedere con appositi decreti;
  • i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento della privacy quando ( per esempio) l’interessato abbia prestato il consenso, quando il trattamento è necessario per assolvere a degli obblighi ed esercitare diritti o per tutelare un interesse vitale dell’interessato o di un’altra persona fisica (qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso), o ancora quando il trattamento riguarda dati che l’interessato abbia reso manifestamente pubblici o sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria oppure per motivi di interesse pubblico.

L’impianto sanzionatorio penale ed amministrativo

Una tra le principali novità del nuovo codice della privacy riguarda l’impianto sanzionatorio penale (della materia riservata alla competenza nazionale). Il nuovo decreto ha confermato i reati già precedentemente previsti (ad esempio il trattamento illecito di dati personali, la falsità nelle dichiarazione al garante, la inosservanza dei provvedimenti del garante, la violazione delle disposizioni in materia di controlli a distanza dei lavoratori) rimodulandone le sanzioni ed ha previsto nuove ipotesi di reato. In particolare:

  • la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala [4];
  • l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del garante.

Ha, inoltre, previsto l’abolizione del reato di omessa adozione delle misure di sicurezze. In pratica, sono previste sempre maggiori tutele e più pene per gli illeciti in materia di privacy.

Ulteriore modifica della disciplina sulla privacy riguarda le sanzioni amministrative: materia totalmente disciplinata dal GDPR. Il nuovo codice ha, infatti, abrogato quasi tutte le norme relative alle violazioni amministrative ed ha previsto che le nuove ipotesi (disciplinate dal GDPR) debbano essere sanzionate (a seconda dei casi):

  • fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore;
  • fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente, se superiore.

Per esempio: se una struttura pubblica o privata (che eroga prestazioni sanitarie viola i dati contenuti nelle cartelle cliniche) avrà una sanzione amministrativa di importo fino al 2% del fatturato dell’anno precedente; se, invece, la violazione riguarderà il divieto di rilasciare i certificati di assistenza al parto comprensivi dei dati della madre che abbia chiesto di non essere nominata, la sanzione sarà fino al 4% del fatturato. Queste (solo) alcune delle novità previste dal nuovo codice della privacy.

 


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI