Anticipazioni sulla legge di armonizzazione tra Codice Privacy e GDPR
È stato approvato dal consiglio dei ministri il testo provvisorio del decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento Ue 2016/679 (operativo dal 25 maggio 2018). Si appoggia completamente al testo del nuovo Regolamento Europeo, attua una formale abrogazione del d.lgs. 196/2003 per poi ripescarne una gran parte sostanziale.
Sono salvi i regolamenti privacy per i dati sensibili del settore della pubblica amministrazione, le norme di tutela delle società e persone giuridiche contro le telefonate indesiderate; è stata introdotta, inoltre, una sorta di condono prevedendo sconti per le violazioni amministrative del vecchio codice.
Elenchiamo di seguito una panoramica delle prime indiscrezioni di un testo che dovrà ancora percorrere un lungo iter prima di vedere la luce definitivamente, augurabilmente con ampio margine rispetto al 25 maggio 2018.
RESPONSABILE INTERNO – Lo schema di decreto salva i delegati interni, anche se si guarda bene dal chiamarli «responsabili del trattamento» e questo per non creare confusione con il Regolamento Ue, che si limita a prevedere i responsabili esterni del trattamento. Quindi, compiti e funzioni possono essere attribuiti a persone fisiche espressamente designate.
LEGITTIMO INTERESSE – Il legittimo interesse è un istituto che abilita a trattare dati senza consenso attraverso una autodichiarazione delle aziende del proprio interesse prevalente. Un’importante formalizzazione che dovrà fare i conti con la appena approvata legge 205/2017 (commi 1022 e 1023) che impone una procedura di informativa preventiva al Garante nel caso di uso di nuove tecnologie o di trattamenti automatizzati, a chiaro rischio di violazione del Regolamento Ue.
DATA RETENTION – sono previsti 24 mesi di conservazione del traffico telefonico e 12 mesi del traffico telematico per scopo di repressione reati.
SANZIONI AMMINISTRATIVE – Agevolazioni per gli illeciti amministrativi anteriori al 25 maggio 2018. Non c’è condono, ma un forte sconto: si potrà estinguere la sanzione pagando i due quinti del minimo entro 90 giorni dal 25 maggio 2018. Non è stata prevista la graduazione delle “multe” amministrative e non sono state trattate le sanzioni penali: sono due argomenti cui evidentemente sarà dedicato un diverso schema di decreto legislativo, considerato che sono due aspetti cruciali dell’armonizzazione della legge italiana al regolamento Ue.
MINORI – Si stabilisce a 14 anni l’età per poter dare il consenso al trattamento dei dati da parte dei social e comunque da parte dei gestori dei servizi della cosiddetta società dell’informazione.
TELEMARKETING – Il testo noto dello schema di decreto richiama la normativa sul registro delle opposizioni. Con questo viene confermato l’impianto dell’opt out per il marketing telefonico e viene confermato che la tutela riguarda tutti i contraenti, comprese le persone giuridiche.
REGOLAMENTI DATI SENSIBILI – Nel settore della pubblica amministrazione si va verso la conferma dell’impianto dei regolamenti sul trattamento dei dati sensibili e dei dati genetici e biometrici («particolari categorie di dato personale», nel linguaggio europeo). In materia si conferma esplicitamente che le p.a. trattano dati senza il consenso dell’interessato e, quindi, esclusivamente sulla base di una legge o di un regolamento.