ultimo aggiornamento:
Login

Privacy: D. Lgs. 10 agosto 2018, n. 101 – Disposizioni per l’adeguamento della normativa nazionale al regolamento 2016/679

Pubblicato il: 6 Settembre 2018

Circolare n. 47/2018 – CO 15/2018

Il decreto legislativo 10/08/2018 n. 101 contiene ampie modifiche al Codice privacy (d.lgs. 196/2003) per adeguarlo al contenuto del regolamento (UE) 2016/679 del 27 aprile 2016, entrato in vigore in tutta la UE il 25.5.2018.

Image

È stato pubblicato sulla Gazzetta Ufficiale n. 205 del 4 settembre u.s., il D.lgs. 10 agosto 2018 n. 101 che adegua la normativa nazionale alle disposizioni del regolamento 2016/679 (GDPR) in materia di protezione delle persone fisiche riguardo al trattamento di dati personali (v. circolari nn. 29/2018, 18/2018, 50/2017). Tale decreto entra in vigore il 19 settembre p.v.

Il Governo ha deciso di mantenere in vita il “vecchio” Codice privacy (D.Lgs. 196/2013) che, profondamente modificato dal provvedimento in oggetto, costituisce dunque uno dei tre atti, insieme al regolamento 2016/679 e ad alcune norme del decreto di adeguamento 101/2018 che non confluiranno nel “nuovo” Codice, in cui si articola la disciplina sul trattamento dei dati.

Di seguito una prima panoramica delle disposizioni di maggiore interesse.

DISPOSIZIONI DI MODIFICA DEL CODICE (artt. 1-16)

Disposizioni di carattere generale 

Si afferma espressamente che il trattamento dei dati personali avviene secondo le norme del reg. 2016/679 e dello stesso Codice. Conseguentemente, le disposizioni del Codice andranno lette in “combinato disposto” con quelle del regolamento europeo.

L’Autorità di controllo (cfr. art. 51 del reg.) è individuata nel Garante per la protezione dei dati personali.

Nel Codice vengono introdotti, al Titolo I, nuovi Capi contenenti i principi generali del trattamento nonché le condizioni ed i requisiti specifici per categorie particolari di trattamento.

In particolare, si dispone che la base giuridica dei trattamenti connessi ad un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Da notare che nel regolamento, e quindi nel Codice, non è importante la natura pubblica o privata dei soggetti che trattano i dati poiché ciò che rileva è unicamente la finalità di esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Questa finalità impatta anche sulla legittimità della comunicazione e della diffusione dei dati. Infatti, la comunicazione, anche se non è espressamente prevista da norme di legge, è ammessa se necessaria allo svolgimento delle funzioni citate e può essere avviata decorsi 45 giorni dalla comunicazione al Garante. Al di fuori di queste finalità, la comunicazione e la diffusione sono ammesse soltanto se previste da norme di legge o di regolamento.

Il Codice novellato ripropone, per chiarezza terminologica, le definizioni consolidate di comunicazione (dare conoscenza dei dati a soggetti determinati) e di diffusione (dare conoscenza dei dati a soggetti indeterminati) che erano già presenti nel Codice privacy ma che non sono presenti nel regolamento.

Al Garante è affidata la promozione dell’adozione di regole deontologiche negli ambiti che il regolamento riserva agli Stati membri (di seguito SM). Si tratta dei trattamenti:

  • necessari per adempiere un obbligo legale;
  • necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • relativi a dati genetici, biometrici o relativi alla salute;
  • relativi a specifiche situazioni come quelli a scopi giornalistici, espressione artistica, rapporti di lavoro, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Pertanto, i Codici deontologici approvati, come più avanti meglio specificato, continueranno a produrre effetti nell’immediato, ma saranno oggetto nel tempo di aggiornamento ed adeguamento anche attraverso consultazioni pubbliche. Al termine delle consultazioni, le regole deontologiche saranno approvate dal Garante e pubblicate in GU e da quel momento costituiranno condizione essenziale per la liceità e la correttezza del trattamento dei dati.

Esercitando la facoltà concessa agli SM dall’art. 8 del regolamento, viene fissata a 14 anni l’età valida per l’espressione del consenso da parte dei minori in relazione all’offerta diretta di servizi della società dell’informazione (es.: iscrizione a social network, servizi di messaggistica, ecc.).

Al di sotto dei 14 anni è necessario il consenso di chi esercita la responsabilità genitoriale.

Al di fuori di tali servizi, resta il limite dei 18 anni per la prestazione di un valido consenso al trattamento dei dati.

Si consente il trattamento delle categorie particolari di dati (gli ex dati sensibili) necessari per motivi di interesse pubblico rilevante a condizione che siano previsti dal diritto dell’UE, o nazionale, che siano specificati i tipi di dati trattati, le operazioni eseguibili, l’interesse pubblico rilevante nonché le misure appropriate e specifiche per tutelare i diritti fondamentali.

Viene anche fornito un elenco, non esaustivo, dei trattamenti che possono ritenersi effettuati per motivi di rilevante interesse pubblico tra i quali, per quanto di interesse:

  • i compiti dei soggetti operanti in ambito sanitario;
  • l’istruzione e formazione in ambito scolastico e professionale;
  • instaurazione, gestione ed estinzione dei rapporti di lavoro di qualunque tipo, materia sindacale, previdenza e assistenza, adempimento di obblighi retributivi, fiscali e contabili, igiene e sicurezza sul lavoro.

Misure di garanzia per il trattamento dei dati relativi alla salute, condanne penali e reati.

Esercitando la facoltà concessa agli SM dall’art. 9, par. 4 del regolamento, si dispone che i dati relativi alla salute (una delle categorie particolari di dati personali) possono essere oggetto di trattamento, non soltanto in presenza di una delle condizioni individuate dal paragrafo 2 dell’articolo 9 del regolamento (consenso, necessità di assolvere obblighi o esercitare i diritti del titolare, necessità di tutela di interessi vitali dell’interessato, trattamenti effettuati da soggetti quali fondazioni, associazioni senza scopo di lucro),  ma anche in conformità alle misure di garanzia disposte dal Garante.

A tal fine si prevede che il Garante adotti un provvedimento, con cadenza almeno biennale, che riguarderà, tra l’altro, le cautele da adottare relativamente ai profili organizzativi e gestionali in ambito sanitario.

Le misure di garanzia potranno individuare ulteriori condizioni di liceità del trattamento, in particolare le misure di sicurezza, comprese le tecniche di cifratura e pseudonomizzazione, e l’accesso selettivo.

Tali dati infine non potranno essere oggetto di diffusione.

Anche il trattamento dei dati relativi a condanne penali e reati è consentito solo se autorizzato da una norma di legge o di regolamento che preveda anche garanzie appropriate per l’interessato.

Tali trattamenti sono consentiti in particolare:

  • nell’ambito dei rapporti di lavoro;
  • nella mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
  • nell’esecuzione di raccolta di informazioni per conto terzi ex art. 134 del TULPS;
  • nell’attuazione della disciplina in materia di rating di legalità;
  • nell’attuazione degli obblighi previsti dalla normativa antiriciclaggio.

Infine, con norma di chiusura, si conferma l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati ad eccezione di quelli utilizzati nell’ambito di procedimenti giudiziari che restano disciplinati dalle specifiche disposizioni processuali.

Diritti dell’interessato

Sono anzitutto individuate le ipotesi di limitazione dei diritti degli interessati.

Si prevede infatti che tali diritti possono essere limitati in caso di:

  • antiriciclaggio;
  • sostegno alle vittime di atti estorsivi;
  • attività delle Commissioni parlamentari d’inchiesta;
  • controllo dei mercati finanziari e monetari;
  • esercizio dei diritti in sede giudiziaria;
  • riservatezza di coloro che segnalano illeciti di cui siano venuti a conoscenza in ragione del proprio ufficio.

Diposizioni relative al titolare e al responsabile

Titolare e responsabile possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Per i trattamenti svolti per l’esecuzione di un interesse pubblico che presentino rischi elevati, il Garante può prescrivere misure ed accorgimenti che il titolare è tenuto ad adottare.

Comunicazioni elettroniche

Oltre a riprodurre quasi integralmente le norme del Codice, con limitate modifiche di coordinamento, confermando le disposizioni della direttiva 2002/58/CE, in attesa del nuovo regolamento e-privacy, la disposizione sugli elenchi dei contraenti sottolinea che con Provvedimento del Garante saranno individuate, in cooperazione con l’AGCOM, le modalità idonee alla manifestazione del consenso per l’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per finalità di invio di materiale pubblicitario, vendita diretta, ricerche di mercato, comunicazione commerciale e per finalità di marketing diretto.

Si conferma inoltre con esplicito coordinamento il divieto posto dalla legge 5/2018 di utilizzo  di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati.

Conformemente a quanto disposto dall’art. 32 del regolamento, i fornitori di un servizio di comunicazione elettronica accessibile al pubblico devono adottare misure tecniche ed organizzative adeguate al rischio esistente anche attraverso altri soggetti cui sia affidata l’erogazione del servizio e, se necessario, di concerto con i fornitori dei servizi di rete.

In caso di mancato accordo la controversia è definita dall’AGCOM. Viene introdotta nel Codice una nuova disposizione che impone ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico di informare gli abbonati e, ove possibile, gli utenti se sussiste un particolare rischio di violazione della sicurezza della rete indicando, in alcuni casi, i possibili rimedi.

Poteri del Garante

Oltre ai poteri previsti da specifiche disposizioni, da quelli attribuiti dal regolamento (artt. da 55 a 59) e dallo stesso Codice, il Garante ha il potere di:

  • adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche anche per singoli settori;
  • approvare le regole deontologiche.

Il Garante è anche legittimato ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni sulla protezione dei dati.

La possibilità per il Garante di richiedere al titolare e al responsabile l’esibizione di documenti è stata estesa anche al contenuto di banche dati.

Gli accertamenti svolti dal Garante possono riguardare anche reti di comunicazioni accessibili al pubblico e può procedere all’acquisizione di dati ed informazioni on line.

Le Sanzioni

Sono soggette alla sanzione amministrativa pecuniaria fino a 10 milioni o, per le imprese, fino al 2% del fatturato mondiale totale annuo, le violazioni:

  • alla disposizione che prescrive l’obbligo di rendere le informazioni ai minori con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile (art. 2-quinquies, comma 2 del Codice novellato);
  • ai provvedimenti con i quali il Garante prescrive misure ed accorgimenti per i trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati (art. 2-quinquiesdecies del Codice novellato);
  • alla disposizione sulla tenuta delle cartelle cliniche nelle strutture pubbliche e private (art. 92, comma 1, del Codice novellato);
  • alla disposizione in materia di certificato di assistenza al parto (art. 93, comma 1, del Codice novellato);
  • alla disposizione sugli obblighi di informazione sulla natura dei dati del traffico che deve rendere il fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (art. 123, comma 4, del Codice novellato);
  • alla disposizione sul trasferimento automatico della chiamata (art. 128 del Codice novellato);
  • alla disposizione che impone di individuare idonee modalità per la manifestazione del consenso all’inclusione negli elenchi cartacei o elettronici a disposizione del pubblico nonché all’utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o marketing diretto (art. 129, comma 2, del Codice novellato);
  • alle disposizioni sulla sicurezza del trattamento imposte ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 132-ter del Codice novellato);
  • alla disposizione che impone di effettuare una valutazione di impatto per dimostrare la non necessità dell’acquisizione del consenso per il trattamento dei dati relativi alla salute a fini di ricerca medica, biomedica ed epidemiologica, o di sottoporre il programma di ricerca alla consultazione preventiva del Garante quando l’informazione agli interessati risulti impossibile (art. 110, comma 1, primo periodo del Codice novellato).

Sono soggette alla sanzione amministrativa pecuniaria fino a 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo, le violazioni:

  • alla disposizione sulla base giuridica del trattamento (art. 2-ter del Codice novellato);
  • alla disposizione sul consenso del minore in relazione ai servizi della società dell’informazione (art. 2-quinquies, comma 1 del Codice novellato);
  • alla disposizione sul trattamento di categorie particolari di dati necessario per motivi di interesse pubblico rilevante (art. 2-sexies del Codice novellato);
  • alle misure di garanzia indicate dal Garante per il trattamento dei dati genetici, biometrici e relativi alla salute e al divieto di diffusione dei medesimi dati (art. 2-septies del Codice novellato);
  • alle disposizioni in materia di trattamento dei dati relativi a condanne penali e reati (art. 2-octies del Codice novellato);
  • alle disposizioni in materia di diritti delle persone decedute (art. 2-terdecies del Codice novellato);
  • alle disposizioni che impongono di omettere le indicazioni dei dati dell’interessato in caso di diffusione delle sentenze recanti una specifica annotazione in tal senso e, per le sentenze relativi ad atti di violenza sessuale, anche senza annotazione (art. 52, commi 4 e 5, del Codice novellato);
  • alle disposizioni che impongono il rispetto delle specifiche disposizioni di settore nel caso di trattamenti in ambito sanitario (art. 75 del Codice novellato);
  • all’obbligo posto in capo al medico di medicina generale e al pediatra di libera scelta di rendere le informazioni all’interessato sul trattamento dei dati (art. 78 del Codice novellato);
  • all’obbligo per le strutture sanitarie pubbliche e private di rendere agli interessati le informazioni sul trattamento dei dati (art. 79 del Codice novellato);
  • all’obbligo di integrare le suddette informazioni con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico (art. 80 del Codice novellato);
  • all’obbligo di rendere senza ritardo le informazioni all’interessato, successivamente alla prestazione, in caso di emergenze e tutela della salute e dell’incolumità fisica (art. 82 del Codice novellato);
  • al divieto di assentire a richieste di presa visione o di rilascio di copie di cartelle cliniche da parte di soggetti diversi dall’interessato ove non ricorra l’esercizio o la difesa in giudizio di un diritto o la tutela di un diritto di rango pari a quello dell’interessato (art. 92, comma 2, del Codice novellato);
  • sul certificato di assistenza al parto (art. 93, commi 2 e 3, del Codice novellato);
  • alle disposizioni in materia di trattamento di dati relativi a studenti (art. 96 del Codice novellato);
  • alle disposizioni in materia di trattamento dei dati a fini di archiviazione nel pubblico interesse (art. 99 del Codice novellato);
  • alle disposizioni in materia di trattamento dei dati relativi ad attività di studio e ricerca (art. 100 del Codice novellato);
  • alle disposizioni in materia di trattamento dei dati relativi ad attività di ricerca storica (art. 101 del Codice novellato);
  • alle disposizioni in materia di trattamento dei dati a fini statistici o di ricerca scientifica (art. 105 del Codice novellato);
  • alle condizioni ed alle misure stabilite nel provvedimento del Garante che autorizza il riutilizzo dei dati relativi alla salute a fini di ricerca scientifica o a fini statistici (art. 110-bis, commi 2 e 3, del Codice novellato);
  • delle regole deontologiche per i trattamenti nell’ambito dei rapporti di lavoro (art. 111 del Codice novellato);
  • all’obbligo di fornire le informazioni all’interessato al momento del primo contatto successivo all’invio del curriculum (art. 111-bis del Codice novellato);
  • all’obbligo per i patronati di accedere alle banche dati degli enti eroganti le prestazioni soltanto per i tipi di dati individuati specificamente con il consenso dell’interessato (art. 116 del Codice novellato);
  • alle disposizioni in materia di funzionamento della banca dati sinistri dell’ISVAP (art. 120 del Codice novellato);
  • al divieto di archiviazione delle informazioni contenute nell’apparecchio terminale di un contraente o utente a meno che lo stesso abbia espresso il proprio consenso previa informazione (art. 122 del Codice novellato);
  • degli obblighi in materia trattamento dei dati relativi al traffico di contraenti e utenti imposti ai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (art. 123 del Codice novellato);
  • degli obblighi in materia di fatturazione dettagliata (art. 124 del Codice novellato);
  • degli obblighi in materia di identificazione della linea (art. 125 del Codice novellato);
  • degli obblighi in materia di dati relativi all’ubicazione diversi dai dati relativi al traffico (art. 126 del Codice novellato);
  • degli obblighi in materia di utilizzo di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o di comunicazione commerciale (art. 130 del Codice novellato);
  • dell’obbligo imposto ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico di informare i contraenti e gli utenti circa la sussistenza di situazioni  che permettano di apprendere il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei (art. 131 del Codice novellato);
  • degli obblighi in materia di conservazione dei dati di traffico per altre finalità (art. 132 del Codice novellato);
  • dell’obbligo di fornire al Garante informazioni sulle procedure interne adottate per corrispondere alle richieste degli utenti (art. 132-bis del Codice novellato);
  • dell’obbligo imposto ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico di informare gli abbonati, utenti, il Garante e l’AGCOM sulla sussistenza di un particolare rischio di violazione della sicurezza della rete circa la sussistenza di situazioni  che permettano di apprendere il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei (art. 132-quater del Codice novellato);
  • dell’obbligo imposto al titolare e al responsabile di fornire le informazioni richieste dal Garante o di esibire documenti anche con riferimento al contenuto di banche dati (art. 157 del Codice novellato);
  • dell’obbligo di rispettare le regole deontologiche negli ambiti affidati al Garante: trattamenti necessari per adempiere un obbligo legale; per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; relativi a dati genetici, biometrici o relativi alla salute; relativi a specifiche situazioni come quelli a scopi giornalistici, espressione artistica, rapporti di lavoro, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (art. 2-quater del Codice novellato).

Definizione agevolata delle violazioni

Con l’obiettivo di mitigare la mancanza di sanzioni edittali nel minimo, viene introdotta una forma di oblazione consistente nella possibilità per il trasgressore, entro 30 giorni (60 in caso di residenza all’estero) dalla data di comunicazione del provvedimento del Garante, di definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata (cfr. art. 166, comma 8, del Codice novellato).

Illeciti penali 

Nonostante il pesante apparato sanzionatorio amministrativo sopra descritto, il Governo ha ritenuto di mantenere nel Codice novellato anche numerose fattispecie di illeciti penali.

La prima è relativa al trattamento illecito dei dati in diversi contesti:

  • in materia di comunicazioni elettroniche, viene assoggettato alla reclusione da 6 mesi sino ad 1 anno e 6 mesi, chi, al fine di trarne profitto per sé o per altri, ovvero di arrecare danno all’interessato, opera in violazione delle disposizioni sul trattamento dei dati relativi al traffico, all’ubicazione e alle comunicazioni indesiderate oppure in violazione del provvedimento in materia di elenchi dei contraenti;
  • in materia di trattamenti di categorie particolari di dati, o delle misure di garanzie a questi relative, od al trasferimento all’estero di dati personali, chiunque cagiona nocumento all’interessato è punito con la reclusione da 1 a 3 anni.

Vengono poi introdotte due nuove fattispecie penali:

la prima relativa alla comunicazione o diffusione illecita di un archivio automatizzato o di una parte sostanziale di esso. Deve trattarsi di un archivio avente ad oggetto il trattamento dei dati su larga scala ed il fatto deve avvenire al fine di trarne profitto o di arrecare ad altri un danno. La pena è la reclusione da 1 a 6 anni. Alla medesima pena soggiace chi comunica o diffonde un archivio automatizzato, o una parte sostanziale di esso, per le medesime finalità, senza consenso quando il consenso è richiesto  per la liceità del trattamento.

La seconda è l’acquisizione fraudolenta, sempre per le finalità sopra evidenziate, di dati personali oggetto di trattamento su larga scala. La pena è la reclusione da 1 a 4 anni.

È confermata la reclusione da 6 mesi a 3 anni per il reato di falsità nelle dichiarazioni rese al Garante cui si aggiunge la reclusione sino ad 1 anno per chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

Per quanto riguarda l’inosservanza dei provvedimenti del Garante, si conferma che chiunque, essendovi tenuto, non li osserva, è punito con la reclusione da 3 mesi a 2 anni.

Sono confermati gli illeciti penali relativi al divieto di utilizzo di impianti audiovisivi per il controllo a distanza dei lavoratori e sul divieto di indagini sulle opinioni politiche che continuano ad essere puniti con l’arresto da 15 giorni ad 1 anno (art. 38, legge 300/1970).

DISPOSIZIONI EXTRA CODICE (artt. 17-28)

I Capi V e VI del decreto in oggetto contengono le disposizioni che non sono destinate a confluire nel Codice novellato.

Si tratta dunque del contenuto proprio del terzo atto, che si aggiunge al regolamento ed al Codice novellato, contenente disposizioni in materia di trattamento dei dati personali, alcune a carattere transitorio ed altre a carattere permanente.

Controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali

Vengono aggiornate le disposizioni contenute nell’art. 10 del D.lgs. 150/2011 anzitutto confermando che le controversie sui ricorsi contro i provvedimenti dell’Autorità di controllo (il Garante) restano attribuite all’autorità giudiziaria ordinaria e sono regolate dal rito del lavoro.

La competenza è fissata, in via alternativa, nel tribunale del luogo in cui risiede o ha la sede il titolare, ovvero il tribunale del luogo di residenza dell’interessato.

Ora l’interessato può anche dare mandato ad un ente del terzo settore, attivo nel settore della tutela dei diritti e delle libertà degli interessati, di esercitare per suo conto l’azione.

Definizione agevolata delle controversie pendenti

Per i procedimenti sanzionatori che, alla data del 25 maggio 2018, risultino non ancora definiti con l’adozione dell’ordinanza-ingiunzione, è ammesso il pagamento in misura ridotta di una somma pari a 2/5 del minimo edittale, il pagamento può essere effettuato entro 90 giorni dalla data di entrata in vigore del presente provvedimento, cioè entro il 18 dicembre 2018.

Decorso tale termine, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione immediata (il verbale), assumono il valore dell’ordinanza-ingiunzione senza obbligo di ulteriore notificazione.

In tal caso l’obbligo di corrispondere gli importi indicati negli atti citati va assolto entro 60 giorni dal 18 dicembre, cioè entro il 16 febbraio 2019.

Trattazione di affari pregressi

Entro 15 giorni dalla data di entrata in vigore del presente provvedimento, cioè entro il 4 ottobre p.v., il Garante pubblica sul proprio sito web e sulla GU, un avviso con il quale avverte che i soggetti che dichiarano il loro attuale interesse possono presentare al Garante, entro 60 giorni dalla pubblicazione in GU dell’avviso, motivata richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pervenuti entro la data di pubblicazione dell’avviso in GU e per i quali non si sia già esaurito l’esame.

In caso di mancata presentazione di una richiesta di trattazione, i reclami, le segnalazioni e le richieste di verifica sono improcedibili.

Codici di deontologia

Le disposizioni dei codici deontologici:

  • per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (A5);
  • per il trattamento dei dati personali a fini di informazione commerciale (A7).

continuano a produrre effetti, sino alla definizione della procedura di approvazione di cui alla lettera b), a condizione che:

a) entro 6 mesi dalla data di entrata in vigore del presente provvedimento, cioè entro il 19 marzo 2019, gli organismi rappresentanti delle categorie interessate sottopongano all’approvazione del Garante i codici di condotta elaborati ai sensi dell’art. 40 del reg.;
b) la procedura di approvazione si concluda entro 6 mesi dalla sottoposizione al Garante dei codici.

Il mancato rispetto di uno termini sub a) o b) comporta la cessazione di efficacia delle disposizioni dei codici a decorrere dalla scadenza del termine violato.

Le disposizioni dei codici deontologici in materia di trattamento di dati personali:

  • nell’esercizio dell’attività giornalistica;
  • per scopi storici;
  • per scopi statistici in ambito Sistan;
  • Per scopi statistici e scientifici;
  • per svolgere investigazioni difensive.

continuano a produrre effetti fino alla pubblicazione della verifica, effettuata dal Garante entro 90 giorni dalla data di entrata in vigore del presente decreto, cioè entro il 18 dicembre 2018, della loro compatibilità con il regolamento (UE) 2016/679.

Autorizzazioni generali

Poiché le Autorizzazioni generali del Codice privacy non sono previste dal regolamento, quelle approvate e relative ai trattamenti:

  • necessari per adempiere un obbligo legale;
  • necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di lavoro, sicurezza sociale e protezione sociale;
  • relativi a dati genetici, biometrici o relativi alla salute;
  • relativi a specifiche situazioni come quelli a scopi giornalistici, espressione artistica, rapporti di lavoro, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici,

saranno sottoposte a verifica della loro compatibilità col regolamento, e saranno oggetto di un Provvedimento generale del Garante che sarà posto in consultazione pubblica che individuerà le prescrizioni compatibili con il regolamento.

Le autorizzazioni che saranno ritenute incompatibili con il reg. cessano di produrre effetti al momento della pubblicazione in GU del provvedimento generale del Garante ed in quel momento cesseranno di produrre effetti anche le autorizzazioni generali relative a trattamenti diversi da quelli sopra indicati.

Le violazioni alle prescrizioni contenute nelle autorizzazioni generali e nel provvedimento generale del Garante sono soggette alla sanzione amministrativa pecuniaria fino a 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo.

Disposizioni transitorie

A decorrere dal 25 maggio 2018 i provvedimenti del Garante continuano ad applicarsi in quanto compatibili con il regolamento e le disposizioni del presente provvedimento.

Il Registro dei trattamenti cessa di essere alimentato a far data dal 25 maggio 2018 ma continuerà ad essere accessibile fino al 31 dicembre 2019.

Per i primi 8 mesi decorrenti dalla data di entrata in vigore del presente provvedimento, cioè fino al 19 maggio 2019, il Garante tiene conto, ai fini dell’applicazione delle sanzioni, della fase di prima applicazione delle disposizioni sanzionatorie.

Non si tratta quindi di una vera e propria moratoria ma, più modestamente, dell’obbligo per il Garante di tenere conto della fase di prima applicazione del decreto quale ulteriore fattore attenuante in linea con i criteri di cui all’art. 83 del regolamento.

Si dispone infine il coordinamento con la legge 5/2018 in materia di registro delle opposizioni per effetto del quale le violazioni al divieto di comunicare a terzi, trasferire e diffondere i dati dei soggetti iscritti nel registro delle opposizioni e le violazioni al diritto di opposizione, sono punite con la sanzione amministrativa pecuniaria fino a 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo.

Share:
Image
Nuovo ciclo di omologazione WLTP – Deroga all’immatricolazione veicoli M1 e N1 classe I
Image
Nuovo processo omologativo WLTP: modifiche carta di circolazione per l'immatricolazione di veicoli M1, N1 e N2
Top
Federauto
Panoramica privacy

Questo sito Web utilizza i cookie per consentirci di offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito web e aiutando il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.

È possibile regolare tutte le impostazioni dei cookie navigando nelle schede sul lato sinistro.