27/09/2018

IL "DECRETO DI ADEGUAMENTO" DELLA NORMATIVA ITALIANA AL GDPR – D.LGS. 101/2018

Dopo un iter travagliato, dovuto alla crisi del precedente governo e al ritardo nell'avvio dei lavori da parte di quello attuale, il 19 settembre è entrato in vigore il D.lgs. 101 del 10 agosto 2018, finalizzato all'adeguamento della normativa italiana al GDPR, che ha in parte abrogato ed in parte riscritto il Codice della privacy (D.lgs. 196/2003).

A differenza di quanto precedentemente annunciato, il decreto 101/2018 non abroga in toto il Codice della privacy, ma ne cancella e ne modifica una parte consistente. È molto probabile che questa soluzione porterà a notevoli difficoltà interpretative perché vi è da aspettarsi che il rimpasto dei contenuti della normativa italiana non sia avvenuto in assoluta armonia con quella europea, dato anche il tempo molto ristretto a disposizione dei redattori delle nuove previsioni, soggetti alla scure della decadenza della delega data al Governo per l'emanazione del testo.

Stella polare nell'interpretazione della normativa italiana (e ciò vale sia per quella nuova, sia per quanto è rimasto di quella preesistente) sarà la sua subordinazione a quella europea: ciò significa che, in caso di contrasto, il GDPR prevarrà sul Codice della privacy così come riscritto.

Per quanto attiene alle novità introdotte dal D.lgs. 101/2018 destinate ad avere un immediato impatto sulle complesse attività di compliance che le aziende hanno avviato o si accingono ad avviare, vanno segnalate alcune delle più rilevanti:

a) come atteso, è stata confermata la validità dei provvedimenti del Garante della privacy che non siano in contrasto con il GDPR (art. 22.4). Cito, per esempio, quelli in tema di videosorveglianza, di obbligo di nomina degli amministratori di sistema, di adozione delle policies aziendali per l'uso della posta elettronica e di internet, nonché quello relativo all'uso dei cookies: anche di questi provvedimenti, pertanto, le aziende dovranno tenere conto nell'ambito del lavoro di gap analysis e compliance;

b) per alcune tipologie particolarmente delicate di dati personali – ossia quelli genetici, biometrici e relativi alla salute – il legislatore italiano ha precisato che il loro trattamento non solo dovrà essere giustificato da una delle basi giuridiche previste dall'art. 9 paragrafo 2 del GDPR, ma dovrà anche essere conforme alle "misure di garanzia" che saranno emanate dal Garante (art. 2-septies, comma 1). Queste potranno, per esempio, imporre alle aziende misure di sicurezza speciali per proteggere dette tipologie di dati, così come modalità semplificate per prestare il consenso al loro trattamento. Nei prossimi mesi vi è quindi da aspettarsi novità da parte del Garante, che potranno avere un impatto sul trattamento dei dati nell'ambito della gestione del personale;

c) la normativa europea in tema di accesso ai dati personali è stata coordinata con quella italiana in materia di "whistleblowing" (che ha trovato cittadinanza anche nel settore privato con il D.lgs. 179/2017), con la previsione secondo cui i diritti previsti dal GDPR a favore degli interessati non possono essere esercitati se arrecano un pregiudizio, tra l'altro, al soggetto che abbia segnalato una condotta illecita (art. 2-undecies comma 1 lett. f). Ciò significa che – come ritengo corretto – il dipendente segnalato, in ipotesi, all'OdV aziendale, non potrà conoscere il nome del segnalante adducendo di voler esercitare il diritto di accesso ai dati personali;

d) sono state reintrodotte ma profondamente riscritte le fattispecie penali collegate all'illecito trattamento di dati personali. In particolare, e senza addentrarci più del dovuto nella tematica, in base alle nuove fattispecie possono avere rilevanza penale violazioni che attengono: (i) all'uso dei dati sul traffico telefonico/internet, sull'ubicazione (leggasi "geolocalizzazione") o all'effettuazione di comunicazioni indesiderate (spam); (ii) al trattamento di dati di categorie particolari e giudiziari; (iii) al trasferimento illecito dei dati al di fuori dello Spazio Economico Europeo;

e) sono state ampliate, rispetto al GDPR, le ipotesi di violazioni soggette a sanzioni amministrative: per citare una di quelle che potrebbe, in prospettiva, avere una maggiore rilevanza, è sanzionato con la multa più pesante (fino a 20 milioni di Euro o fino al 4% del fatturato) l'uso dei dati biometrici e genetici nei sistemi di accesso fisico o logico in violazione delle misure di garanzia prescritte dal Garante (menzionate al punto b) (art. 166 comma 2);

f) è stata riproposta e migliorata la norma che risolveva l'annoso problema della ricezione delle candidature spontanee: la nuova previsione specifica non solo che il titolare deve rendere l'informativa al momento del primo contatto con il candidato, ma anche – ed è questa la novità – che sia dispensato dall'obbligo di chiedere il suo consenso al trattamento dei dati, ovviamente nella misura in cui li tratti solo per valutare la candidatura per la posizione specifica e non per finalità ulteriori.

Si è molto parlato, infine, del fatto che il decreto di adeguamento avrebbe introdotto un "periodo di grazia" (simile a quello concesso dall'Authority francese) di otto mesi nel quale avrebbe evitato di irrogare sanzioni.

In realtà, ciò che il Garante italiano ha dichiarato è che terrà conto degli sforzi già intrapresi per valutare le eventuali sanzioni, fermo restando che vi è da aspettarsi che il target dei controlli dell'Autorità saranno i soggetti la cui attività caratteristica comporti l'acquisizione e la profilazione di una mole consistente di dati personali: banche, assicurazioni, compagnie telefoniche e operatori dell'e-commerce.

Se questa previsione è fondata lo vedremo nei prossimi mesi.

Federica Brevetti