Visualizzazione Internet Visualizzazione InternetChiudi Chiudi

DATI GENERALI
Stato della NotiziaUFFICIALE
ProtocolloVI28269
Data creazione10/01/2018
TitoloPrivacy. Entra in vigore il decreto delegato che adegua il codice privacy al Regolamento UE n. 2016/679
Spedizione Notiziario Cartaceo
Annotazioni per segreteria
Seleziona il documento che ha generato la notizia
Redazione e Autori
DATI DI CREAZIONE
Documento creato da Patrizia Silvestri il 10/01/2018 alle ore 10:01:34 AM
Funzionario ResponsabilePatrizia Silvestri
Modificato da il 01/10/2018 alle ore 15
Redazione ResponsabileCN=Giuseppe Trivisonno/OU=AI/O=ASSINDVI/C=IT; CN=Patrizia Silvestri/OU=AI/O=ASSINDVI/C=IT; CN=Chiara Longhi/OU=AI/O=ASSINDVI/C=IT; CN=Admin/O=ASSINDVI/C=IT; CN=Luca Grifalconi/OU=AI/O=ASSINDVI/C=IT; CN=Giuseppe Lupi/OU=AI/O=ASSINDVI/C=IT; CN=Alessio Righetti/OU=AI/O=ASSINDVI/C=IT
Show details for In BreveIn Breve
Hide details for In BreveIn Breve
E’ entrato in vigore il 19 settembre 2018, il D.lgs. 101/2018 che modifica il Codice privacy (D.lgs. 196/2003) adeguandolo al Regolamento (UE) 679/2016 (GDPR).

Dopo il Regolamento (UE) 679/2016 sulla protezione dei dati delle persone fisiche - applicabile dal 25 maggio 2018 – è stato necessario adeguare la normativa nazionale contenuta nel Codice privacy (D.lgs. 196/2003). Il D.lgs. 101/2018 - in vigore dal 19 settembre 2018 - non modifica pertanto il GDPR ma armonizza il Codice privacy al Regolamento comunitario abrogando le disposizioni incompatibili con il GDPR, introducendone di nuove e, inoltre, integrando e modificando le disposizione che rimangono in vigore.
Show details for ApprofondimentiApprofondimenti
Hide details for ApprofondimentiApprofondimenti
Si evidenziano, di seguito, le principali novità del D.lgs. 101/2018.


Trattamento di dati genetici, biometrici e relativi alla salute (art. 2 septies del Codice privacy aggiornato)

I dati genetici, biometrici e relativi alla salute (rientranti nella “categorie particolari di dati” in base al nuovo Regolamento, art. 9, 1° paragrafo) possono essere trattati a condizione che sussista una delle condizioni di cui all’articolo 9, paragrafo 2 del GDPR ed in conformità a specifiche misure di garanzia disposte dal Garante con proprio provvedimento da adottarsi con cadenza almeno. In particolare, le misure di garanzia individuano le misure di sicurezza (quali ad esempio cifratura, pseudonomizzazione), le misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.


Trattamento di dati giudiziari (art. 2 octies)

Il trattamento di dati relative a condanne penali e reati può avvenire solo se previsto da una norma di legge o, nei casi previsti dalla legge, di regolamento che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In mancanza delle predette disposizioni, i trattamenti consentiti e le relative garanzie dovranno essere individuati con decreto del Ministero della Giustizia.


Limitazione dei diritti degli interessati (art.2 undecies)

I diritti degli interessati, di cui agli artt. 15-22 del GDPR, potranno essere limitati o esclusi in casi determinati (es. norme antiriciclaggio, svolgimento di indagini difensive) e, tra questi, segnaliamo l’ipotesi dell’identità del dipendente che segnala, in base alla normativa del whistleblowing, un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.


Disposizioni relative al titolare e al responsabile (art. 2 quaterdecies)

Tra le novità introdotte dal D.lgs. 101/2018 segnaliamo la possibilità che il titolare o il responsabile possano prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti – attraverso apposita designazione – a persone fisiche che operano sotto la loro diretta autorità.
Il titolare o il responsabile possono comunque individuare le modalità più opportune per procedere alla predetta designazione.


Trattamento nell’ambito del rapporto di lavoro (artt. 11 e 111 bis)

Per i trattamenti nell’ambito del rapporto di lavoro, il Garante promuove l’adozione di regole deontologiche sia per i soggetti pubblici che per i soggetti privati, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato.

Per la ricezione dei curricula inviati spontaneamente dai candidati la disciplina rimane immutata: l’informativa di cui all’art. 13 del GDPR può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum.

Per quanto riguarda la raccolta di dati e la loro pertinenza, i datori di lavoro devono comunque rispettare il divieto disposto dall’art. 8 dello Statuto dei lavoratori e, per quanto riguarda il controllo a distanza, l’art. 4 del medesimo Statuto.


Consenso minori per i servizi della società dell’informazione (art.2 quinquies)

Diversamente da quanto previsto nel Regolamento (art.8), il d.lgs. 101/2018 fissa a 14 anni la capacità del minore di esprimere il proprio consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione (art. 2 - quinques). Pertanto, per il minore degli anni 14 resta ferma la necessità del consenso di chi esercita la potestà genitoriale.
Il titolare del trattamento dovrá, sempre in relazione a tali servizi, redigere una informativa usando un linguaggio chiaro, semplice, conciso ed esaustivo “ al fine di rendere significativo il consenso prestato dal minore”.


Disciplina semplificata per piccole e medie imprese (art. 154 – bis, 4°comma)

Viene introdotta la possibilità che il Garante introduca meccanismi di semplificazione per le micro, piccole e medie imprese con riferimento agli obblighi del titolare.


Sanzioni (artt. 166-171)

Per quanto riguarda le sanzioni amministrative, fermo restando quanto stabilito dall’art. 83 del Regolamento, il D.lgs. 101/2018 ha introdotto ulteriori condotte che danno luogo all’applicazione di sanzioni amministrative, individuando nel Garante l’organo competente ad adottare i provvedimenti correttivi di cui all’art. 58, paragrafo 2 del Regolamento nonché ad irrogare le sanzionDocument Link Iconi amministrative.
Il procedimento per l’adozione dei provvedimenti e delle sanzioni citate può essere avviato a seguito di reclamo o di attività istruttoria avviata dal Garante. Entro 30 giorni dalla comunicazione del provvedimento, il trasgressore e gli obbligati in solito possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata.
Il Garante dovrà definire, con proprio regolamento, le modalità del procedimento per l’adozione dei provvedimenti, delle sanzioni e dei relativi termini.

Per quanto riguarda gli illeciti penali, il decreto delegato introduce nel Codice privacy nuove fattispecie di reato:
Viene, invece, abrogato l’art. 169 del Codice privacy che puniva l’omessa adozione di misure di sicurezza, fermo restando che la violazione da parte del titolare delle disposizioni in tema di sicurezza dei dati previste dal GDPR (artt. da 25 a 39) “è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” Art. 83, paragrafo 4 del Regolamento (UE) 679/2016 .

Segnaliamo che per i primi 8 mesi dall’entrata in vigore del D.lgs. 101/2018 il Garante “tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. La predetta previsione non costituisce una moratoria sulle sanzioni amministrative ma viene solo previsto che il Garante tenga presente le difficoltà che derivano dall’applicazione delle nuove norme.


Disposizioni finali e transitorie (non inserite nel codice privacy) - provvedimenti generali e autorizzazioni generali del Garante

Il D.lgs. 101/2018 prevede, inoltre, una serie di disposizioni transitorie:
Ricordiamo che, salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.

In linea nel sito di Confindustria Vicenza è consultabile, all’interno della guida "Privacy in azienda. La transizione verso il Regolamento europeo (GDPR)" la modulistica di interesse delle imprese per l’adeguamento alla disciplina sulla privacy.
Show details for Collegamenti e AllegatiCollegamenti e Allegati
Hide details for Collegamenti e AllegatiCollegamenti e Allegati

Link


Hide details for Link alla GazzettaLink alla Gazzetta

DescrizioneLink


Allegati



Regolamento UE 679/2016Regolamento UE 679-2016 con indice.pdfRegolamento UE 679-2016 con indice.pdf
Codice privacy aggiornatoCodice in materia di protezione dei dati personali (Testo coordinato).pdfCodice in materia di protezione dei dati personali (Testo coordinato).pdf
Decreto delegato 101/2018Dlgs 10-08-2018 - nro 101.pdfDlgs 10-08-2018 - nro 101.pdf