Associazione Industriali della Provincia di Vicenza - Notizia internet n. VI28269 del 10/01/2018

Cerca nel nostro sito




Home > Notiziario

Notiziario

Cod. notizia:VI28269


10/01/2018

Privacy. Entra in vigore il decreto delegato che adegua il codice privacy al Regolamento UE n. 2016/679

E’ entrato in vigore il 19 settembre 2018, il D.lgs. 101/2018 che modifica il Codice privacy (D.lgs. 196/2003) adeguandolo al Regolamento (UE) 679/2016 (GDPR).


Dopo il Regolamento (UE) 679/2016 sulla protezione dei dati delle persone fisiche - applicabile dal 25 maggio 2018 – è stato necessario adeguare la normativa nazionale contenuta nel Codice privacy (D.lgs. 196/2003). Il D.lgs. 101/2018 - in vigore dal 19 settembre 2018 - non modifica pertanto il GDPR ma armonizza il Codice privacy al Regolamento comunitario abrogando le disposizioni incompatibili con il GDPR, introducendone di nuove e, inoltre, integrando e modificando le disposizione che rimangono in vigore.

Approfondimenti

Si evidenziano, di seguito, le principali novità del D.lgs. 101/2018.


Trattamento di dati genetici, biometrici e relativi alla salute (art. 2 septies del Codice privacy aggiornato)

I dati genetici, biometrici e relativi alla salute (rientranti nella “categorie particolari di dati” in base al nuovo Regolamento, art. 9, 1° paragrafo) possono essere trattati a condizione che sussista una delle condizioni di cui all’articolo 9, paragrafo 2 del GDPR ed in conformità a specifiche misure di garanzia disposte dal Garante con proprio provvedimento da adottarsi con cadenza almeno. In particolare, le misure di garanzia individuano le misure di sicurezza (quali ad esempio cifratura, pseudonomizzazione), le misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.


Trattamento di dati giudiziari (art. 2 octies)

Il trattamento di dati relative a condanne penali e reati può avvenire solo se previsto da una norma di legge o, nei casi previsti dalla legge, di regolamento che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In mancanza delle predette disposizioni, i trattamenti consentiti e le relative garanzie dovranno essere individuati con decreto del Ministero della Giustizia.


Limitazione dei diritti degli interessati (art.2 undecies)

I diritti degli interessati, di cui agli artt. 15-22 del GDPR, potranno essere limitati o esclusi in casi determinati (es. norme antiriciclaggio, svolgimento di indagini difensive) e, tra questi, segnaliamo l’ipotesi dell’identità del dipendente che segnala, in base alla normativa del whistleblowing, un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.


Disposizioni relative al titolare e al responsabile (art. 2 quaterdecies)

Tra le novità introdotte dal D.lgs. 101/2018 segnaliamo la possibilità che il titolare o il responsabile possano prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti – attraverso apposita designazione – a persone fisiche che operano sotto la loro diretta autorità.
Il titolare o il responsabile possono comunque individuare le modalità più opportune per procedere alla predetta designazione.


Trattamento nell’ambito del rapporto di lavoro (artt. 11 e 111 bis)

Per i trattamenti nell’ambito del rapporto di lavoro, il Garante promuove l’adozione di regole deontologiche sia per i soggetti pubblici che per i soggetti privati, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato.

Per la ricezione dei curricula inviati spontaneamente dai candidati la disciplina rimane immutata: l’informativa di cui all’art. 13 del GDPR può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum.

Per quanto riguarda la raccolta di dati e la loro pertinenza, i datori di lavoro devono comunque rispettare il divieto disposto dall’art. 8 dello Statuto dei lavoratori e, per quanto riguarda il controllo a distanza, l’art. 4 del medesimo Statuto.


Consenso minori per i servizi della società dell’informazione (art.2 quinquies)

Diversamente da quanto previsto nel Regolamento (art.8), il d.lgs. 101/2018 fissa a 14 anni la capacità del minore di esprimere il proprio consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione (art. 2 - quinques). Pertanto, per il minore degli anni 14 resta ferma la necessità del consenso di chi esercita la potestà genitoriale.
Il titolare del trattamento dovrá, sempre in relazione a tali servizi, redigere una informativa usando un linguaggio chiaro, semplice, conciso ed esaustivo “ al fine di rendere significativo il consenso prestato dal minore”.


Disciplina semplificata per piccole e medie imprese (art. 154 – bis, 4°comma)

Viene introdotta la possibilità che il Garante introduca meccanismi di semplificazione per le micro, piccole e medie imprese con riferimento agli obblighi del titolare.


Sanzioni (artt. 166-171)

Per quanto riguarda le sanzioni amministrative, fermo restando quanto stabilito dall’art. 83 del Regolamento, il D.lgs. 101/2018 ha introdotto ulteriori condotte che danno luogo all’applicazione di sanzioni amministrative, individuando nel Garante l’organo competente ad adottare i provvedimenti correttivi di cui all’art. 58, paragrafo 2 del Regolamento nonché ad irrogare le sanzionDocument Link Iconi amministrative.
Il procedimento per l’adozione dei provvedimenti e delle sanzioni citate può essere avviato a seguito di reclamo o di attività istruttoria avviata dal Garante. Entro 30 giorni dalla comunicazione del provvedimento, il trasgressore e gli obbligati in solito possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata.
Il Garante dovrà definire, con proprio regolamento, le modalità del procedimento per l’adozione dei provvedimenti, delle sanzioni e dei relativi termini.

Per quanto riguarda gli illeciti penali, il decreto delegato introduce nel Codice privacy nuove fattispecie di reato:
  • Art. 167 (Trattamento illecito di dati),
  • Art. 167- bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala),
  • Art. 167- ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala),
  • Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante),
  • Art. 170 (Inosservanza di provvedimenti del Garante),
  • Art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori).

Viene, invece, abrogato l’art. 169 del Codice privacy che puniva l’omessa adozione di misure di sicurezza, fermo restando che la violazione da parte del titolare delle disposizioni in tema di sicurezza dei dati previste dal GDPR (artt. da 25 a 39) “è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” Art. 83, paragrafo 4 del Regolamento (UE) 679/2016 .

Segnaliamo che per i primi 8 mesi dall’entrata in vigore del D.lgs. 101/2018 il Garante “tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. La predetta previsione non costituisce una moratoria sulle sanzioni amministrative ma viene solo previsto che il Garante tenga presente le difficoltà che derivano dall’applicazione delle nuove norme.


Disposizioni finali e transitorie (non inserite nel codice privacy) - provvedimenti generali e autorizzazioni generali del Garante

Il D.lgs. 101/2018 prevede, inoltre, una serie di disposizioni transitorie:
  • a decorrere dal 25 maggio 2018
    1. i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto,
    2. le espressioni «dati sensibili» e «dati giudiziari» ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento.
  • entro il 17 dicembre 2018, il Garante dovrà provvedere, previa consultazione pubblica, al riordino delle autorizzazioni generali relative ai trattamenti necessari all’adempimento di un obbligo di legale o per l’esecuzione di un compito di interesse pubblico e ai trattamenti di categorie particolari di dati. Le altre autorizzazioni relative a trattamenti diversi cessano di produrre effetti dal 19 settembre 2018.

Ricordiamo che, salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.

In linea nel sito di Confindustria Vicenza è consultabile, all’interno della guida "Privacy in azienda. La transizione verso il Regolamento europeo (GDPR)" la modulistica di interesse delle imprese per l’adeguamento alla disciplina sulla privacy.





Regolamento UE 679/2016Regolamento UE 679-2016 con indice.pdfRegolamento UE 679-2016 con indice.pdf
Codice privacy aggiornatoCodice in materia di protezione dei dati personali (Testo coordinato).pdfCodice in materia di protezione dei dati personali (Testo coordinato).pdf
Decreto delegato 101/2018Dlgs 10-08-2018 - nro 101.pdfDlgs 10-08-2018 - nro 101.pdf


© Confindustria Vicenza - 2018



Altre notizie sull'argomento

Per maggiori informazioni rivolgersi:
Area Legale e Urbanistica
Piazza Castello, 3 - 36100 Vicenza
tel. 0444 232500 - fax 0444 526155
email: legale@confindustria.vicenza.it