Con la GDPR sono state introdotte regole più chiare su informativa e consenso, sono stati definiti i limiti al trattamento automatizzato dei dati personali, sono state poste le basi per l’esercizio di nuovi diritti, si sono stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue e fissate norme rigorose per i casi di violazione dei dati (data breach). Inoltre è stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.
In data 19 settembre 2018 è entrato poi in vigore il decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Reg. UE/2016/679” pubblicato in G.U. lo scorso 4 settembre 2018 attraverso il quale il legislatore italiano ha completato il quadro regolamentare nazionale in materia di trattamento dei dati personali, a seguito dell’entrata in vigore della GDPR.
l testo ha introdotto una serie di disposizioni valide per chi in opera in Italia tra cui ricordiamo:
Rafforzamento dei poteri del garante: si osserva il rafforzamento dei poteri dell’Autorità Garante tra cui il potere di adozione di regole deontologiche, di provvedimenti a carattere generale, che possono essere adottati anche d’ufficio nei confronti dei responsabili e dei titolari.
Sanzioni: il quadro sanzionatorio è parzialmente ridefinito sia sotto il profilo amministrativo che penale (osservando in alcuni casi una non piena armonizzazione con il rischio di sovrapposizione della pena per alcune fattispecie). Sotto il profilo penale, in particolare, la violazione di norme che disciplinano il trattamento dei dati particolari o penali prevedono fino alla reclusione in caso di danno all’interessato.
Micro, PMI: l’art. 14 del decreto introduce l’art. 154bis del Cod. Privacy, che prevede la possibilità per l’Autorità garante di disciplinare forme semplificate degli adempimenti.
Misure di Garanzia: in alcuni settori specifici di trattamento dei dati particolari (ambito salute, genetici e biometrici) sono introdotte le c.d. Misure di Garanzia che, di fatto, riprendono le misure di sicurezza già previste nel Cod. Privacy, le quali andranno aggiornate a cura del Garante ogni due anni al fine di adeguarle alla mutata evoluzione tecnologica.
Marketing Diretto: sul punto il legislatore è intervenuto apportando una ulteriore precisazione all’art. 130 Cod. Privacy, per cui è (ancora) possibile utilizzare modalità telefoniche e posta cartacea per l’invio di comunicazioni che hanno l’espressa finalità di invio materiale pubblicitario, vendita diretta, compimento di ricerche di mercato, comunicazioni commerciali. È quindi escluso l’utilizzo dell’e-mail per il compimento di tali attività. La base giuridica potrà essere quella del legittimo interesse a condizione che sia effettuato una preventiva analisi per il bilanciamento delle contrapposte esigenze e sia in ogni caso fornita adeguata informativa, fatto salvo il diritto di registrarsi sul registro delle opposizioni.
Minori: l’età minima per l’espressione del consenso per l’utilizzo dei servizi della società dell’informazione è fissata a 14 anni, al di sotto di soglia occorre il consenso del genitore.
Il Garante nazionale ha reso disponibile sul proprio sito il testo del Codice Privacy integrato con le disposizioni del Regolamento a tale proposito si precisa che il testo ha scopo informativo e di orientamento e non ha valore ufficiale posto che gli unici atti ad avere forza di legge sono quelli pubblicati sulla Gazzetta Ufficiale; è infatti necessario precisare che il testo non esaurisce l’intero impianto normativo dal momento che il testo pubblicato omette le parti del nuovo decreto (n. 101/2018) che non hanno come oggetto la modifica o l’abrogazione del Codice Privacy che hanno una loro autonoma applicazione.
L’interpretazione e l’applicazione del quadro normativo deve quindi tenere conto dei tre testi di riferimento il Regolamento UE/679/2016, il Codice Privacy come novellato (d.lgs. 196/2003) e il d.lgs. 101/2018.
Stante la rilevanza delle modifiche, si auspica per alcuni aspetti l’intervento chiarificatore formale dell’autorità in relazione alla regolamentazione di alcuni aspetti regolati ad esempio da codici di condotta, deontologici o di autorizzazione generale.
A livello europeo si segnala la piena operatività del nuovo European Data Protection Body (EDPB), organismo di supporto e di coordinamento delle Autorità di controllo nazionali.
La prima riunione si è svolta il giorno di entrata in vigore del Regolamento, il 25.5.2018, da quel giorno pertanto ha cessato la sua attività il Working Party art. 29, istituito a suo tempo dall’art. 29 della Direttiva 46/95 CE.
Il nuovo organismo ha poteri più ampi rispetto all’WP29 e si affiancherà al già esistente EDPS European Data Protection Supervisor, istituito con il Reg. 4ha5/2001CE (al quale non si applica il GDPR). Ruolo fondamentale dell’organismo è garantire la piena e armonizzata osservanza del GDPR nello spazio giuridico europeo.