NEWS

Pronto per le camere il dlgs di armonizzazione al GDPR

Punita l'acquisizione fraudolenta e la diffusione di ingenti dati personali; a 16 anni il consenso dei minori per la rete; la sanità perde l'obbligo del consenso e oblazione in vista per le violazioni amministrative del vecchio codice della privacy. Codice che, seppure, amputato in larga parte, rimane in piedi. Viene, tra l'altro, abrogato integralmente l'allegato B sulle misure minime di sicurezza (la violazione delle quali non costituisce più reato).

Sono alcuni dei punti dello schema decreto legislativo di armonizzazione dell'ordinamento italiano al regolamento Ue sulla protezione dei dati (n. 2016/679), operativo dal 25 maggio 2018. Lo schema di decreto, che entrerà in vigore la stessa data, già approvato in via preliminare il 21 marzo 2018, ha subito più di una stesura, ma l'ultima bozza di cui si sintetizza qui il contenuto, con ogni probabilità verrà bollinata oggi dalla Ragioneria generale dello stato e successivamente trasmessa in parlamento per l'acquisizione dei pareri delle competenti commissioni parlamentari.

L'ultima bozza è decisamente diversa dalla prima che ha circolato tra gli addetti ai lavori. La novità più eclatante riguarda il contenitore delle norme: dalla completa abrogazione del codice della privacy (dlgs 196/2003) si passa a una abrogazione chirurgica, anche se molto estesa e a una vasta operazione di sostituzione e integrazione di disposizioni. Alcune di queste sono la riproposizione di analoghe disposizioni del codice della privacy. Chi deve applicare la privacy si trova, dunque, di fronte a un quadro di norme sparse qua e là, senza una fonte unificante. E ancora non è finita, visto che su alcuni pezzi importanti, come le autorizzazioni generali del garante, si apre ora una stagione di verifica della compatibilità. E, poi, ancora ci potranno essere codici etici e infine continuano ad applicarsi i provvedimenti del garante adottati in 22 anni di privacy all'italiana, in quanto compatibili con il regolamento Ue e con le disposizioni del decreto di armonizzazione. Vediamo, dunque, di tratteggiare alcune delle novità e delle pseudonovità.

Oblazioni e depenalizzazioni - Il regolamento Ue 2016/679 afferma il principio per cui non si può punire due volte (con una sanzione penale e con una sanzione amministrativa) una stessa violazione. Ma se la prima bozza traduceva questo principio con una depenalizzazione a tappeto di tutti i reati previsti dal codice della privacy, l'ultima bozza ripropone una sezione penale, di cui entrano a fare parte nuovi illeciti, come l'acquisizione fraudolenta di dati personali e la comunicazione e la diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone. Una norma ad hoc riguarda i procedimenti pendenti per i vecchi illeciti amministrativi, non arrivati a conclusione con l'adozione da parte del garante di una ordinanza di ingiunzione di pagamento: chi vorrà potrà saldare il conto pagando i due quinti del minimo edittale. Per le sanzioni amministrative previste dal regolamento Ue 2016/679 in Italia le norme di procedura sono quelle della legge 689/1981. Rimane il fatto che avremo illeciti amministrativi puniti con due fasce di sanzioni per cui è individuato solo il massimo e cioè 10 e 20 milioni di euro, senza predeterminazione del minimo. Una situazione questa che, quand'anche legittima, è assolutamente iniqua, perché accomuna sul piano edittale sia sanzioni lievi che gravi, sia sanzioni formali che sanzioni lesive di interessi sostanziali. Il problema beninteso non è la mancanza del minimo, ma la mancata graduazione legislativa di diversi livelli massimi in corrispondenza di livelli di gravità diversi e senza che a ciò possa sopperire il prudente uso del potere di graduazione che in concreto sarà adottato da parte del garante della privacy.

Minori - In relazione a servizi della società dell'informazione (app e servizi su internet), il legislatore italiano fissa a 16 anni l'età valida per fornire il proprio consenso (nella prima bozza era fissato a 14 anni). Vi è da chiedersi, in generale, perché mai i minori di età siano trattati come i maggiorenni e non abbiano tutele ulteriori già con riferimento all'espressione del consenso.

P.A. - Si conferma che la p.a. non deve chiedere il consenso e che tratta dati in base alla legge. In base alle disposizioni sopravvivono i regolamenti sul trattamento di dati sensibili, già adottati e aggiornati da tutti gli enti pubblici.

Sanità - Le norme sulla privacy sanitaria dello schema di decreto legislativo di coordinamento perdono tutte le disposizioni sul consenso. D'altra parte il regolamento Ue 2016/679 (articolo 9) prevede per il trattamento dei dati sanitari presupposti diversi dal consenso.
Morti - Rivive la tutela dei dati delle persone decedute. È una materia lasciata dall'Europa ai singoli stati e l'Italia mantiene ferma la disposizione sulla disciplina dei dati riferiti a persone defunte.

Delegati interni - Si ufficializza la possibilità di designare persone all'interno per attribuire specifici compiti e funzioni: non sono i responsabili interni (non previsti dal regolamento Ue), ma ci somigliano molto.

Fonte: Italia Oggi del 4 maggio 2018 - Articolo a cura di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev GDPR, tutte le criticità delle pubbliche amministrazioni
Next Cassazione: lo scoop di "Striscia la notizia" violò la privacy del truffatore

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy