Italiano
The new Legislative Decree no. 101 of 10 August 2018 has been recently pubished, containing the transposition to the Gdpr (EU General Data Protection Regulation no. 2016/679). This Decree has introduced numerous innovations, however, has failed to include all the areas concerning the protection of personal data, considering that the Regulation of the e-Privacy remains partially excluded.
A distanza da più di tre mesi dall’entrata in vigore del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (noto come GDPR) è stato pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 il D.Lgs. n. 101 del 10 agosto 2018 con le disposizioni per l’adeguamento della normativa nazionale alle disposizioni di detto Regolamento. Il D.Lgs 101/2018 ha provveduto ad abrogare le disposizioni del precedente D.lgs. n.196/2003 (c.d. Codice Privacy) non più compatibili con il GDPR introducendone nuove, ma anche ad integrare e modificare le disposizioni rimaste vigenti. Le novità più rilevanti del nuovo decreto privacy sono:
- Le definizioni inerenti il dato genetico e il dato biometrico, che nel Codice erano ricomprese nel novero dei dati relativi alla salute.
- L’introduzione del diritto degli interessati alla portabilità dei dati personali anche relativamente ai social network e del diritto all’oblio, che permette all’interessato di decidere quali informazioni possano continuare a circolare dopo un determinato periodo di tempo.
- L’obbligo da parte di tutti i destinatari di nomina del Data Protection Officer (Dpo).
- L’inserimento di una valutazione preventiva di impatto; per esempio il principio di privacy by design, che richiede la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.
- L’obbligatorietà per i titolari del trattamento di notificare all’Autorità competente (in Italia al Garante per la protezione dei dati personali) le violazioni dei dati personali (data breach).
- L’attribuzione al Garante di maggiori compiti, il suo parere sarà indispensabile nel caso di adozione di strumenti normativi, comprese le leggi, che riguardino la protezione dei dati personali. Inoltre Garante Privacy dovrà scrivere le regole per l’applicazione delle sanzioni amministrative.
- Una maggiore tutela del dato personale con l’adozione di misure più incisive per garantire la sicurezza, rafforzando le tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati.
- L’inserimento del concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società.
- Il necessario consenso al trattamento dei dati personali, che potrà essere espresso solo al compimento dei 14 anni di età.
- L’introduzione del reclamo come forma di tutela alternativamente al ricorso in tribunale.
- La promozione da parte del Garante di modalità semplificate di adempimento degli obblighi del titolare del trattamento per le micro, piccole e medie imprese
- L’inserimento dei seguenti reati: trattamento illecito di dati personali, comunicazione, diffusione illecita di dati, acquisizione fraudolenta di dati, false dichiarazioni al Garante, interruzione all’ esercizio dei poteri del garante, inosservanza dei provvedimenti del Garante.
Nonostante le numerose novità tale decreto tuttavia non è riuscito a ricomprendere tutte le aree riguardanti la protezione dei dati personali, rimanendo parzialmente esclusa la disciplina del Regolamento e-Privacy. Quest’ultima in particolare è stata modificata solo nella parte relativa ai contenuti che deve avere l’informativa sui rischi di violazione della sicurezza che i fornitori dei servizi di comunicazione elettronica devono rendere nei confronti degli utenti.
Tomaso Romanengo
