Da due giorni è impossibile accedere al sito del Garante per la Privacy italiano. Se, come me, siete abituati ogni mattina a leggere i provvedimenti e le indicazioni del Garante in materia di privacy vi sentirete certamente un po’ spaesati. La motivazione è molto semplice, è stato – finalmente – pubblicato in Gazzetta Ufficiale il d.lgs del 10 agosto 2018 che adegua la normativa nazionale alle disposizioni del regolamento GDPR e tutti gli addetti ai lavori cercano spasmodicamente di accedere al sito web del Garante per avere notizie al riguardo.

E’ importante sottolineare che con il d.lgs 101/2018 si conclude il lungo iter che ha portato l’Italia – tra i Paesi più lenti dell’Unione – a recepire il regolamento europeo.

Secondo Francesco Modafferi, dirigente del Garante Privacy, “ora il quadro normativo è completo e non ci sono più alibi per le aziende”. Tra le novità più rilevanti vi è la solenne smentita di chi sosteneva che nei primi otto mesi vi sarebbe stata una sospensione delle sanzioni da parte del Garante, il quale nell’erogare sanzioni terrà solo conto del fatto che siamo in una fase iniziale di attuazione.

Il d.lgs 101/2018 salva dunque una serie di norme del vecchio Codice, anche tramite l’esplicito rinvio alla normativa degli Stati membri da parte del legislatore europeo, come la materia dei trattamenti in materia di rapporti di lavoro, ancora regolamentata dall’art. 4 dello Statuto dei lavoratori.

Tra le novità più rilevanti vi sono le seguenti in materia di:

Minori e consenso – E’ stato abbassato il limite d’età (nel GDPR fissato ad anni 16) al di sotto del quale si rende necessario il consenso genitoriale per usufruire di servizi della società dell’informazione come social network, e-mail, community etc che, in Italia è di 14 anni;

DPO anche per le Autorità Giudiziarie – L’art. 2-sexiesdecies prevede la nomina obbligatoria del DPO anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni. In poche parole verrà sottoposto al vaglio del Garante, tramite il DPO, anche la correttezza dei trattamenti da parte dei Pubblici Ministeri;

Le misure di garanzia – La filosofia di fondo del GDPR, caratterizzata dall’autonomia del titolare del trattamento nella gestione dei dati, viene bilanciata – seppur limitatamente ai dati particolari – con una reintroduzione delle misure di sicurezza che dovranno essere elencate in un provvedimento del Garante con cadenza biennale;

Nessun nuovo intervento sul marketing diretto e registro delle opposizioni – In materia viene recepito il Considerando 47 del GDPR, come una delle ipotesi di legittimo interesse del titolare quale base giuridica del trattamento;

Le sanzioni – Il Codice definisce le casistiche per cui ricorrono le sanzioni amministrative, come l’omessa valutazione di impatto, ma ricordiamo che il Regolamento consente agli Stati di definire quadri sanzionatori diversi dalle sanzioni amministrative previste dallo stesso GDPR, purchè siano sempre proporzionali e dissuasive.

In attesa dei provvedimenti attuativi del Garante e dei codici di condotta delle associazioni di categoria non ci resta che studiare approfonditamente il nuovo testo normativo e, soprattutto, effettuare una comparazione con il vecchio Codice della Privacy, il GDPR e la direttiva 2016/680 – che unifica le norme sulla cooperazione transfrontaliera delle forze di polizia e in materia di giustizia – per poter avere il quadro normativo completo entro il 19 settembre, giorno in cui le disposizioni del decreto di recepimento entreranno in vigore.

© RIPRODUZIONE RISERVATA