GDPR: Da domani l’adeguamento D.Lgs. 101/2018

Nella G.U. n. 205 del 04.09.2018 è stato pubblicato il Decreto Legislativo 10 agosto 2018, n. 101, intitolato “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;

Il decreto legislativo entrerà in vigore da domani 19.09.2018 ma il precedente Codice della privacy, il decreto legislativo 196 del 2003, non andrà in pensione, Codice della privacy e regolamento europeo (GDPR), infatti, coesisteranno unitamente ai provvedimenti che saranno resi dal Garante in materia di protezione dei dati personali, imponendo una rigorosa lettura sistematica delle fonti normative che disciplinano la materia.

E’ stato previsto un periodo di otto mesi durante il quale il Garante, nel decidere eventuali multe, terrà conto del periodo transitorio necessario all’adeguamento e l’Authority, inoltre, promuoverà modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Infine, nell’ottica di aiutare le aziende ad adeguarsi con gradualità alle nuove normative, il decreto pubblicato in Gazzetta Ufficiale evidenzia una precisa richiesta al Garante della privacy di pubblicare delle linee guida per fissare modalità di adeguamento semplificate per le piccole e medie imprese.

Una notevole iniziativa legislativa che vede la parte generale del Codice della Privacy in breve sostituita quasi integralmente dalle disposizioni del Regolamento, sicché le norme su principi, basi giuridiche del trattamento, informativa e consenso previgenti sono abrogate e sostituite da quelle europee. Quanto alla parte speciale, proviamo ad elencare alcune tra le principali novità: CURRICULUM VITAE – L’informativa ex art. 13 GDPR va fornita al momento del “primo contatto utile”, successivo all’invio del curriculum. Nei limiti delle finalità stabilite dall’articolo 6, paragrafo 1) lettera b) del Regolamento UE, il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto; CONSENSO DEI MINORI – In relazione all’offerta diretta di “servizi della società dell’informazione”, il consenso potrà essere espresso al compimento dei 14 anni di età. Al di sotto di tale soglia, il consenso andrà prestato da chi esercita la responsabilità genitoriale; SANZIONI – Il legislatore italiano ha deciso di avvalersi della facoltà, concessa dal GDPR a tutti gli Stati membri, di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo).

Verranno penalmente sanzionati: trattamento illecito di dati personali; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; false dichiarazioni rese al Garante; inosservanza dei provvedimenti del Garante; violazione del comma 1 dell’art. 4 Stat. Lav.. Inoltre, ai sensi dell’art. 22 comma 13 del d.lgs 101/2018, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie“.