29 Gennaio

Il 19 settembre 2018 è entrato in vigore il D.Lgs. 101/2018, decreto di adeguamento della normativa italiana al GDPR che va a modificare il vecchio Codice privacy (D.lgs. 196/2003).

Prima di approfondire le principali novità introdotte dal D.lgs. 101/2018, risulta necessario fare due precisazioni:

  1. nonostante le raccomandazioni parlamentari in tal senso, non è stato previsto alcun periodo di applicazione “soft” o “di transizione” delle attività di ispezione e sanzione del Garante (che, per inciso, sarebbe stato illegittimo).
  2. limitandosi a disciplinare gli aspetti non regolati dal Regolamento, il D.Lgs. 101/2018 non rappresenta la normativa nazionale in materia di protezione dati, ma è accessoria al GDPR.

Anche in considerazione della complessità e dell’articolazione del testo normativo, sono riportate  in seguito solo alcune delle principali novità che introduce il D.Lgs 101/2018:

Sanzioni: oltre alle severe sanzioni amministrative già previste dal GDPR, sono previste dal D.Lgs. 101/2018  anche sanzioni penali nel caso di:

  • trattamento illecito dei dati personali;
  • acquisizione fraudolenta dei dati personali;
  • comunicazione e diffusione illecita dei dati personali;
  • false dichiarazioni rese al Garante;
  • inosservanza dei provvedimenti del Garante.

Per i primi otto mesi dall’entrata in vigore del decreto, cioè fino a maggio 2019, è richiesto al Garante della privacy di tenere conto, per l’applicazione delle sanzioni amministrative, della fase di prima applicazione delle disposizioni sanzionatorie.

Enti Accreditatori: l’ente accreditatore degli organismi di certificazione è l’ente unico nazionale di accreditamento, Accredia. Per il momento, non sono ancora state pubblicate linee guida di certificazione ai sensi dell’art. 42 GDPR.

Ruolo centrale del garante: è prevista un’ampia possibilità di intervento da parte del Garante con interventi relativi ad esempio a:

  • Promozione di regole deontologiche (in ambito sanitario, lavorativo e per trattamenti in ambito di ricerca e archiviazione);
  • Adozione di linee guida (per la semplificazione dell’attuazione dei principi del GDPR nei confronti delle PMI);
  • Prescrizione di misure e accorgimenti a garanzia dell’interessato (nei trattamenti che presentano un rischio elevato per l’esecuzione di un compito di pubblico interesse).

Applicabilità di provvedimenti, autorizzazioni, codici del Garante antecedenti il 25 maggio 2018

  • Provvedimenti del Garante: continuano ad applicarsi se compatibili con il GDPR e il nuovo Codice Privacy.
  • Autorizzazioni generali del Garante: il Garante privacy si è pronunciato a dicembre 2018 circa la compatibilità delle autorizzazioni generali. Il Garante della privacy ha individuato le prescrizioni contenute nelle autorizzazioni generali al trattamento dei dati adottate nel 2016 ancora compatibili con il nuovo Regolamento europeo in materia e con la recente riforma del Codice della privacy. In base all’analisi effettuata, quattro autorizzazioni hanno invece cessato completamente i loro effetti.
  • Codici deontologici e di buona condotta: il Garante privacy si è pronunciato a dicembre 2018 in merito alla conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679. 
  • Misure minime di sicurezza: sono state abrogate dal D.lgs. 101/2018, in quanto incompatibili col principio di accountability.

 

Altre novità: vi sono infine due punti della nuova norma interessanti per i giovani in cerca di lavoro e per le aziende che assumono. Il primo punto riguarda la possibilità di comunicare i dati degli studenti universitari, proprio per favorirne l’accesso al mondo del lavoro. Il secondo si riferisce a coloro che inviano il proprio CV in modo spontaneo. Il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto. Quindi non sarà più necessario inviare ad essi l’informativa solitamente prevista. Il consenso va fornito al momento del “primo contatto utile”, successivo all’invio del curriculum.

 

Alfasic S.r.l.è a Vostra completa disposizione per approfondimenti e per affiancarVi nella gestione della materia privacy in questo momento di cambiamento legislativo. 
 

Il contenuto della presente avendo esclusivamente carattere informativo non può essere considerato esaustivo, pertanto Alfasic S.r.l. rimane a disposizione per approfondire l’argomento con le aziende interessate.