NF 9/2018 - Advisory Services

Dopo un lungo percorso, il 4 settembre 2018 è stato pubblicato in G.U. l’atteso decreto (D.Lgs. n. 101/2018), che adegua la disciplina Privacy nazionale al Regolamento Europeo 2016/679 (GDPR).

Il testo, in vigore dal 19 settembre 2018, modifica la normativa interna sostituendola quasi integralmente nelle disposizioni generali e adeguando il vecchio Codice soprattutto nei settori dove il trattamento dei dati personali è particolarmente critico (ad esempio dati genetici e di salute) e in quelli di maggiore attualità (ad esempio i dati relativi all’ubicazione e alle comunicazioni indesiderate).

Si sintetizzano di seguito alcune delle novità più rilevanti.

Autorità Garante e MPMI

Estesi i poteri del Garante Privacy che, oltre a trattare i reclami, a promuovere l’adozione di regole deontologiche e denunciare i fatti configurabili come reati perseguibili d’ufficio, può adottare linee guida di indirizzo anche per singoli settori e disciplinare forme di semplificazione per le micro, piccole e medie imprese.

Whistleblowing

Il diritto di accesso ai dati trattati non può essere esercitato nel caso in cui venga meno la riservatezza di chi, ai sensi della legge n. 179/2017, segnali illeciti di cui sia venuto a conoscenza in ragione del proprio ufficio.

Viene in tal modo tutelata l’identità del whistleblower.

Legittimo interesse

Nulla di certo per quanto riguarda il legittimo interesse come base giuridica del trattamento.

Il D.Lgs. 101/2018 si limita a riprendere quanto indicato nel GDPR relativamente al “marketing diretto”, precisando che tale finalità riguarda l’invio di materiale pubblicitario, la vendita diretta, il compimento di ricerche di mercato o la comunicazione commerciale.

Illeciti penali

Il decreto recepisce quanto stabilito dal GDPR in relazione alle sanzioni amministrative e introduce nuove forme di illeciti penali.

I reati previsti dal decreto sono: il trattamento illecito dei dati, comunicazione, diffusione illecite e acquisizione fraudolenta su larga scala al fine di trarre profitto o di arrecare un danno all’interessato.

Ulteriori reati riguardano la falsità nelle dichiarazioni al Garante, l’interruzione dell’esecuzione di compiti e poteri di questo e l’inosservanza dei provvedimenti.

Le pene vanno da un minimo di 6 mesi a un massimo di 6 anni di reclusione in funzione del reato commesso.

Pur avendo definito alcuni paletti legislativi, il decreto lascia ancora aperti numerosi aspetti da chiarire (periodo di grazia, legittimo interesse) i quali, ci auguriamo, verranno definiti nel prossimo futuro con provvedimenti ad hoc e codici deontologici.