In seguito all’entrata in applicazione lo scorso 25 maggio 2018 del nuovo Regolamento EU Generale sulla Protezione dei Dati Personali 679/2016, è stato necessario aggiornare la normativa italiana sulla Data Protection.
Il nuovo Decreto L.vo 101/2018, pubblicato sulla G.U. il 4 settembre 2018, ha mantenuto in vigore il Codice Privacy del 2003 (D. Lgs. 196/03), ma ne ha ridefinito in profondità le finalità ed i contenuti, oltre che aver aggiunto elementi non presenti, come nuove sanzioni penali, nuove aree di azione del Garante Privacy, nuovi obblighi, nuove restrizioni ed alcune semplificazioni, determinando la definizione di CODICE PRIVACY NOVELLATO
CI SARA’ UN RINVIO DELL’APPLICAZIONE DEL REGOLAMENTO EU GDPR 679/2016 SULLA PRIVACY?
- Non è previsto alcun rinvio del GDPR, né è prevista una moratoria sulle sanzioni
- L’Autorità Garante Privacy ha solo ricevuto una raccomandazione ad operare in modo “soft” nell’applicazione delle sanzioni del GDPR per 8 mesi dal settembre 2018
- Oltre al GDPR, occorre applicare il D.Lgs. 196/03 e le “novelle” del D.L.vo 101/18
QUALI NOVITA’ PER LE BASI GIURIDICHE DEL TRATTAMENTO DEI DATI PERSONALI NEL DECRETO 101/2018?
- L’art. 2 (Finalità) della 196/2003 è stato completamente riformulato ed introduce un riferimento importante alla legge e ai regolamenti come base giuridica per il trattamento, oltre che come ipotesi di liceità del trattamento “per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri” e per la comunicazione di dati da un soggetto a un altro in quel contesto
COME SI DEVONO GESTIRE I DATI PERSONALI DEI MINORI?
- I minori di almeno 14 anni possono dare il consenso al trattamento dei propri dati in relazione ai servizi offerti dalle aziende ICT direttamente nei loro confronti.
- Per i minori al di sotto dei 14 anni, invece, il consenso al trattamento dei propri dati personali rimane sotto la responsabilità dei genitori
COME TRATTARE I DATI SENSIBILI (AD ESEMPIO I DATI GENETICI, SANITARI, BIOMETRICI E GLI ORIENTAMENTI SESSUALI)?
- Nel trattamento della categoria dei dati particolari (o sensibili), il Garante Privacy emetterà, ogni due anni, disposizioni sulle misure di salvaguardia e sulle misure di sicurezza, come la crittografia, la pseudonimizzazione e la minimizzazione dei dati ed altre misure necessarie per garantire i diritti delle persone interessate
COSA FARA’ IL GARANTE PRIVACY ITALIANO CON LE PMI?
- E’ prevista la possibilità che il Garante Privacy emetta una versione semplificata del GDPR per le PMI
- Ma non vi è una data di rilascio, né altri dettagli operativi per cui non si può aspettare che venga rilasciata perché le ispezioni sono già in atto
QUALI SONO LE SANZIONI PENALI INTRODOTTE DAL DECRETO L.IVO 101/2018?
Le nuove sanzioni penali sono:
- Comunicazione e divulgazione illecite di dati trattati su larga scala;
- Falsità nella comunicazione al Garante e interruzione delle sue attività;
- Acquisizione fraudolenta di dati personali;
- Violazioni delle disposizioni sui controlli remoti e indagini sulle opinioni dei lavoratori.
COSA DEVONO FARE I TITOLARE ED I RESPONSABILI VERSO I PROPRI COLLABORATORI?
- Il Titolare del trattamento e i Responsabili del trattamento devono specificare compiti e funzioni relativi al trattamento dei dati personali svolti da persone che lavorano per le loro organizzazioni.
- Tali figure devono essere debitamente nominate ed istruite in modo adeguato rispetto ai loro compiti
COSA DEVO FARE SE RICEVO UN CV IN MODO SPONTANEO?
- Nel caso di ricezione spontanea di CV, l’informativa sulla privacy può essere fornita al momento del primo contatto utile, a seguito dell’invio del CV e il consenso non sarà richiesto
IL RUOLO DEL GARANTE PRIVACY CAMBIA?
- Si espandono in modo ampio i poteri del Garante Privacy, sia in tema di controllo e promozione delle regole deontologiche che in molti altri ambiti (es. verifica provvedimenti)
COME SI DOVRÀ IMPLEMENTARE UN PROGETTO GDPR?
- È indispensabile l’adozione di misure procedurali e organizzative volte a definire ed implementare la documentazione riguardante le procedure di gestione dei dati personali e dei casi di violazione degli stessi. Le procedure devono essere comunicate a tutti i collaboratori e devono essere oggetto di formazione
SI PUO’ RICORRERE ALLA BIOMETRIA PER I SISTEMI DI ACCESSO?
- E’ ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione
COME SI PUO’ DISPORRE DEI PROPRI DATI DIGTALI NEI SOCIAL DOPO LA MORTE?
- Dopo tanta attesa viene introdotta la c.d. “eredità digitale” del dato in caso di decesso, grazie all’introduzione di una norma che consente di esercitare i diritti ad oggetto i dati delle persone decedute da parte di chi ne ha interesse
Fonti: elaborazioni da articoli e interventi di IAPP, del Prof. F. Pizzetti, di Altalex e di Agenda Digitale