GDPR

DAL GDPR AL NUOVO CODICE DELLA PRIVACY: CHE COSA CAMBIA PER LE IMPRESE?

13/12/2018 16:20


a cura di Gerolamo Pellicanò, avvocato, Of counsel CBA e Anna Iorio, CBA


Un'occasione mancata?

Se l'ambizione del legislatore europeo era di dotare l'Unione di uno strumento che regolasse l'intero corpus normativo di protezione dei dati personali, con beneficio della chiarezza del diritto e minori costi di compliance per le aziende crossborder, si può sin da subito tranquillamente affermare che l'obiettivo non è stato perseguito.

Lo conferma anche il d.lgs. 10 agosto 2018 n. 101, che non ha abrogato, bensì modificato il Codice della Privacy, che quindi resta in vigore, sia pure un poco asciugato. Inoltre vanno considerate anche le disposizioni del Codice della Privacy abrogate dal decreto n. 101 delle quali è tuttavia prorogata l'efficacia, gli allegati al Codice e tutta la normativa di cornice in materia di protezione di dati personali. A livello nazionale potranno essere inoltre introdotte misure legislative specifiche e di soft law, ove tale potere è conferito dalle disposizioni del GDPR.
Dunque, a dispetto dell'obiettivo, il GDPR rischia di costituire una cornice normativa, che ogni Stato europeo, se seguirà il nostro modello, potrà riempire anche in misura considerevole con prescrizioni valide solo nel suo territorio nazionale. E i costi di compliance non sono certo destinati a contrarsi per i gruppi multinazionali, e non solo.

Che cosa cambia per le imprese alla luce del d. lgs. n. 101

Quali sono le principali innovazioni delle quali le imprese italiane devono tenere conto, alla luce del decreto n. 101?

A differenza di quanto previsto dal GDPR, il nuovo Codice della Privacy mantiene la distinzione tra la "comunicazione" e la "diffusione" dei dati (art. 2 ter, comma 4, Codice Privacy) Conformemente a quanto disposto nel GDPR, la definizione di "dati particolari" sostituisce la precedente contenuta nel Codice della Privacy di "dati sensibili".

Secondo l'art. 2 octies, comma 1, del Codice della Privacy novellato, il trattamento di dati personali relativi a condanne penali o a reati o a connesse misure di sicurezza sulla base dell'art. 6, par. 1 del GDPR, che non avviene sotto il controllo dell'autorità pubblica, è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. Il comma 3 individua, in particolare, i casi in cui si applica quanto previsto dai commi 1 e 2 (adempimenti di obblighi e l'esercizio di diritti da parte del titolare o dell'interessato in materia di diritto del lavoro o comunque nell'ambito dei rapporti di lavoro, nei limiti stabiliti da leggi, regolamenti e contratti collettivi […]; adempimento degli obblighi previsti da disposizioni di legge o di regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali; la verifica o l'accertamento di requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti; ecc.).

Circa i trattamenti nell'ambito del rapporto di lavoro (Parte II, Titolo VIII del Codice Privacy), il decreto d.lgs. n. 101 modifica l'art. 111 a partire dalla rubrica che da "Codice di deontologia e di buona condotta" diventa "Regole deontologiche per trattamenti nell'ambito del rapporto di lavoro" e prevede la promozione da parte del Garante, ex art. 2 quater, di regole deontologiche per i soggetti pubblici e privati interessati al trattamento di dati personali effettuato nell'ambito del rapporto di lavoro per le finalità di cui all'art. 88 GDPR, le quali prescriveranno altresì specifiche modalità per le informazioni da rendere all'interessato. Dunque, toccherà attendere un intervento da parte dell'Autorità Garante per aggiornare il trattamento dei dati personali da parte del datore di lavoro.

Il decreto introduce nel Codice della Privacy anche l'art. 111 bis sulle informazioni da fornire in relazione ai dati personali trattati nei CV, prevedendo che, per i curricula spontaneamente trasmessi dagli interessati, l'informativa di cui all'art. 13 GDPR vada fornita al momento del primo contatto utile, successivo all'invio del curriculum, e che il consenso non sia necessario quando il trattamento abbia la finalità di cui all'art. 6, par. 1, lettera b), del GDPR, ossia sia finalizzato alla eventuale assunzione del candidato.

Un focus sul marketing diretto

Con riferimento alle attività di marketing diretto, il decreto n. 101 modifica il dettato normativo dell'art. 129 del Codice della Privacy ("Elenchi dei contraenti"). Secondo l'art. 129 novellato il Garante per la protezione dei dati personali, in cooperazione con l'Autorità per le garanzie nelle comunicazioni, è tenuto ad individuare le modalità di inserimento e di successivo utilizzo dei dati personali relativi a contraenti negli elenchi telefonici cartacei o elettronici a disposizione del pubblico: saranno altresì definite le modalità di manifestazione del consenso per l'inclusione in tali elenchi e ai trattamenti per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, in base ai principi previsti nel medesimo articolo. E' espressamente previsto il diritto all'opposizione che l'interessato può esercitare nel caso in cui i suoi dati siano trattati per finalità di marketing diretto. Per ora è da ritenere che continuino a valere le disposizioni in materia di utilizzo degli elenchi telefonici e del Registro pubblico delle opposizioni.

Il contenuto sostanziale dell'art. 130 del Codice Privacy "Comunicazioni indesiderate" non cambia. E' richiesto il consenso del contraente o utente per l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, nonché per le comunicazioni elettroniche (posta elettronica, telefax, MMS o SMS): il riferimento all'utente o contraente significa che la disposizione tutela anche le persone giuridiche. Persiste un registro pubblico delle opposizioni istituito secondo le modalità, i criteri ed i controlli di cui ai commi 3 bis, 3 ter e 3 quater. Resta altresì inalterato quanto disciplinato nel quarto comma, per cui se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato (in questo caso, persona fisica) nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità indicate, è sempre informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

E' emersa qualche interpretazione secondo la quale non risulterebbe più necessario richiedere uno specifico consenso dell'interessato per inviargli comunicazioni promozionali, essendo sufficiente fornirgli una comunicazione chiara e trasparente sulla possibilità di esprimere il proprio diniego all'atto della raccolta dei dati e in ogni momento successivo circa la possibilità di opporsi sempre al trattamento dei dati per questa finalità.

L'interpretazione si fonderebbe sul Considerando n. 47 del GDPR e farebbe leva sul "legittimo interesse" del titolare del trattamento. Tuttavia la lettura appare frettolosa, posto che il "legittimo interesse" è espressamente dichiarato sussistere in presenza di "una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato sia un cliente" del titolare. Con riferimento poi all'uso del telefono, degli strumenti automatizzati di chiamata e delle comunicazioni elettroniche valgono in ogni caso le disposizioni degli art. 129 e 130 del novellato Codice della privacy.

L'apparato sanzionatorio

All'art. 166 del Codice Privacy sono introdotti i criteri di applicazione delle sanzioni amministrative pecuniarie ed il procedimento per l'adozione di provvedimenti correttivi e sanzionatori, con pieno recepimento di quanto disposto dal legislatore europeo nel GDPR.
Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.

Il decreto legislativo n. 101 ridefinisce gli illeciti penali (comportanti la pena di reclusione): trattamento illecito di dati (art. 167); comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167 bis); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167 ter); falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante (art. 168); inosservanza dei provvedimenti del Garante (art. 170); violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 171).

La fase transitoria

Il Capo VI del decreto n. 101, recante "Disposizioni transitorie, finali e finanziarie", all'art. 19 disciplina la procedura da applicare per la Trattazione di affari pregressi, prevedendo un termine di 15 giorni dalla data di pubblicazione del decreto (4 settembre 2018) entro cui il Garante pubblicherà un avviso attestante la decorrenza di giorni 60 (dalla pubblicazione dell'avviso in G.U.) per la presentazione di motivate richieste di trattazioni di reclami, segnalazioni e richieste di verifiche preliminari pervenuti entro la predetta data e mai esaminati. Il Garante ha assunto una delibera in data 27 settembre 2018, pubblicata nella Gazzetta Ufficiale del 4 ottobre 2018.

L'art. 20 del decreto n. 101 prevede da parte del Garante l'approvazione dei Codici di deontologia e di buona condotta secondo la procedura riportata nel medesimo articolo; fino all'approvazione, le disposizioni dei codici di cui agli allegati A.5 e A.7 continueranno a produrre effetti.

Il Garante individua, ed eventualmente aggiorna, con provvedimento da sottoporre a consultazione pubblica, le prescrizioni contenute nelle autorizzazioni generali già adottate secondo la procedura prevista dall'art. 21, comma 1 del Codice aggiornato, con riferimento a trattamenti necessari per adempiere ad un obbligo legale (ovvero per l'esecuzione di un compito di interesse pubblico) del titolare del trattamento; ovvero ai trattamenti necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e con riguardo ai dati genetici, dati biometrici o dati relativi alla salute; ovvero infine riferito a specifiche situazioni di trattamento (i.a. trattamento di dati nell'ambito dei rapporti di lavoro). Le autorizzazioni generali che, sottoposte a verifica, risultino incompatibili con il GDPR, cesseranno di produrre effetti dalla pubblicazione in G.U. del provvedimento del Garante, come pure per le autorizzazioni preesistenti relative a trattamenti diversi da quelli sopra elencati. Al contrario, sino all'adozione delle regole deontologiche (art. 2 quater del Codice) e delle misure di garanzia per il trattamento di dati genetici, biometrici e relativi alla salute (art. 2 septies), le autorizzazioni generali verificate incompatibili con il GDPR e le prescrizioni date dal comma 1 dell'art. 21 del decreto n. 101 continuano a produrre effetti.

Alla luce di quanto disposto dall'art. 22, a partire dal 25 maggio 2018 i provvedimenti del Garante continuano ad applicarsi in quanto compatibili con il GDPR e il d.lgs. n. 101.

Il Registro dei trattamenti di cui all'art. 37, comma 4 del Codice cessa di essere alimentato a far data dal 25 maggio 2018 ma fino al 31 dicembre 2019 resta comunque accessibile