GDPR

IL GDPR "Italiano"

13/09/2018


Commento a cura dell'Avv. Francesca Gaudino, Partner di Baker McKenzie

Dopo un articolato periodo di gestazione, il Decreto Legislativo 101 dello scorso 10 agosto ha allineato la normativa privacy italiana al Regolamento (UE) 2016/679 – GDPR, General Data Protection Regulation, applicabile dal 25 maggio.

Per adeguare l'Italia al quadro europeo si poteva adottare un nuovo testo con le disposizioni di allineamento oppure intervenire sull'esistente Codice Privacy tramite abrogazione/modifica. Il legislatore ha preferito la seconda opzione. Per una valutazione complessiva sull'utilizzo delle norme di apertura è necessario attendere gli interventi del Garante a copertura e raccordo delle aree che restano in sospeso. Una prima osservazione su quello che rappresenta adesso (insieme al Regolamento) il testo di riferimento per aziende e operatori del settore, è che il testo novellato è di argomentosa lettura e non immediata comprensione e chiama l'interprete a un difficile, certosino lavoro di coordinamento.

Per i primi otto mesi dall'entrata in vigore del Decreto, il Garante terrà conto della prima fase di applicazione ai fini delle sanzioni amministrative. Non si tratta di una moratoria o di un periodo di grazia (simile a quello concesso dal CNIL – l'autorità privacy francese), poichè il Regolamento e il Decreto (quest'ultimo dal 19 settembre) sono già in vigore, ma di un'importante e benvenuta indicazione di ragionevolezza, soprattutto alla luce della complessità del quadro di riferimento delineato dal Regolamento e rifinito con scarsa agilità dal Decreto. Da notare che l'approccio ragionevole è temperato dall'inciso che bisogna comunque garantire la compatibilità con il Regolamento.

Per le piccole e medie imprese il Garante individuerà modalità semplificate per adeguarsi al Regolamento. Si tratta di una buona notizia, anche se dovremo capire meglio quale è il concreto beneficio per le aziende interessate, poiché queste dovrebbero aver già adottato un programma di adeguamento e in ogni caso le semplificazioni riguarderanno solo le modalità di applicazione, non gli specifici obblighi da rispettare.

L'impianto sanzionatorio penale viene confermato con qualche modifica, per cui trattare dati in violazione del Regolamento può comportare la reclusione, adesso anche fino a sei anni per comunicazione/diffusione illecita di dati e quattro anni per acquisizione fraudolenta.
Il consenso resta necessario per l'invio di materiale pubblicitario, vendita diretta e ricerche di mercato attraverso mezzi automatizzati, senza intervento umano. Gli operatori di direct marketing che, alla luce dell'istituto del legittimo interesse introdotto dal Regolamento, pensavano di poterne fare a meno restano delusi – anche se resta da vedere come coordinare queste disposizioni con l'emanando Regolamento ePrivacy in materia di privacy e comunicazioni elettroniche.

I codici deontologici e le autorizzazioni generali del Garante, che rappresentano una parte importante del corpus regolamentare e offrono la possibilità di disciplinare in maniera specifica aree di particolare complessità saranno rivisitati alla luce del Regolamento, con procedure e tempi diversi. Il sostanziale corpus normativo rappresentato dai provvedimenti del Garante anteriori al 25 maggio restano applicabili, se compatibili con il Regolamento. Da un lato quindi si assicura continuità, dall'altro si lascia ancora una volta agli operatori il non semplice compito di coordinamento con il nuovo paradigma normatio.

Per i dati genetici, biometrici e relativi alla salute il Garante, con cadenza almeno biennale, individuerà misure e condizioni di trattamento, mentre a determinate condizioni si ammette espressamente l'uso di dati biometrici per l'accesso fisico e logico ai dati.
Il trattamento dei dati giudiziari (relativi a condanne penali e reati) resta soggetto a limitazioni stringenti, per cui gli operatori dovranno valutare con attenzione se e come utilizzarli.
I diritti privacy degli interessati, ampliati e rinforzati dal Regolamento, possono eccezionalmente essere limitati, ad esempio per la tutela della riservatezza nelle segnalazioni di dipendenti in ambito whistleblowing. Si possono in alcuni casi far valere anche i diritti privacy dei deceduti, mentre nell'ecosistema digitale il minore di 14 anni può dare un consenso valido.

Viene confermata la possibilità di adottare un sistema interno di deleghe privacy, per cui il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome. Le aziende inoltre possono scegliere come autorizzare il personale al trattamento dei dati, beneficiando di un certo margine di discrezionalità nell'adozione del proprio modello organizzativo privacy.
Infine, una nota di colore: non c'è più l'informativa privacy di cui, a forza di sanzioni, avevamo imparato l'importanza; adesso ci sono le informazioni sul trattamento. E non possiamo più parlare correttamente di dati sensibili e giudiziari, sostituiti dalla locuzione categorie particolari di dati. Ci mancheranno.

Vetrina