D.LGS. 101/2018 – IL CODICE DELLA PRIVACY IN VESTE EUROPEA
13/09/2018




È recente la pubblicazione del D.Lgs. n. 101 dell’8 agosto 2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (meglio noto come GDPR). Con tale decreto, lo Stato italiano ha adeguato il proprio impianto normativo alle nuove regole sulla protezione dei dati personali introdotte a livello europeo.

A dispetto dei numerosi rumors, il Codice della Privacy (d.lgs. 196/2003, in seguito anche “Codice”) non è stato oggetto di un’abrogazione integrale. Anzi, resta il fulcro della normativa italiana in materia di privacy. Il Governo, infatti, si è attenuto a quanto previsto dalla legge di Delegazione europea n. 163/2017 (salvo per quanto riguarda le tempistiche entro cui effettuare l’adeguamento), che imponeva di abrogare espressamente solo le disposizioni del codice in materia di trattamento dei dati personali incompatibili con il GDPR, e coordinare la parte restante in armonia con il Regolamento UE.



Quali sono stati, in concreto, i principali interventi del D.Lgs. 101/2018?

Partendo dal principio, l’art. 1 si preoccupa di individuare le fonti in materia di protezione dei dati personali, dicendo che il trattamento dei dati personali avviene secondo le norme del GDPR e del Codice della Privacy (nel testo innovato, s’intende). Pertanto, è chiaro che l’uno non sostituisce l’altro: la normativa italiana va necessariamente letta in raccordo con quella europea (e proprio il successivo art. 2 indica quale finalità principale del Codice quella di adeguarsi al GDPR), così come il Regolamento va integrato considerando le disposizioni nazionali speciali.

Ebbene, il tanto atteso decreto di adeguamento prevede interventi diversificati. Ad una prima lettura, è subito chiaro che si alternano specificazioni dovute (e/o scontate), quale quella di cui all’art. 22 co. 2, e relativa ai dati particolari ex art. 9 GDPR, dicitura che sostituisce quella nazionale relativa a “dati sensibili”, o la specifica riguardante i dati relativi a condanne penali e reati, previste dall’art. 10 GDPR, che subentrano alle previsioni sui “dati giudiziari”, a norme decisamente innovative. Si pensi all’ 2 – quinquies che, a differenza del Regolamento, abbassa la soglia a partire dalla quale il minore può fornire il proprio autonomo consenso al trattamento dei dati da parte delle società dell’informazione (social media e web) - da 16 a 14 anni. In merito a questo, la normativa italiana richiede che le comunicazioni relative al trattamento dei dati del minore siano chiare, semplici, concise, esaustive, facilmente accessibili e comprensibili (ma ciò deve valere in generale, anche per l’informativa destinata agli adulti). Ancora, si segnala l’art. 2 – terdecies, che considera i diritti riguardanti le persone decedute (un vero e proprio – diritto all’eredità dei dati), o l’art. 111 – bis, che regola la ricezione spontanea di Curriculum Vitae.

Inoltre, viene sottolineato e potenziato il ruolo del Garante della Protezione dei dati personali all’interno delle figure privacy. Invero, il Garante viene individuato quale “Autorità di Controllo”, ma tale qualifica non deve fuorviare, giacché lo stesso rappresenta anche il soggetto che guida e indirizza l’attività di protezione dei dati nel panorama italiano. Pertanto, molti sono i provvedimenti che spettano al Garante (oltre a quelli correttivi e sanzionatori):

  • Regole deontologiche (Art. 2 – quater e relativo All. A del Codice della Privacy) dirette a particolari settori che presentano implicazioni rilevanti in materia di riservatezza e protezione dei dati;
  • Provvedimenti generali per trattamenti che presentano un alto rischio per i diritti e le libertà delle persone (art. 2 - quinquiesdecies);
  • Misure di garanzia per specifiche categorie di dati (genetici, biometrici e relativi alla salute);
  • Linee guida di indirizzo relative alle misure tecniche ed organizzative di attuazione dei principi del Regolamento.


Un altro aspetto che merita di essere approfondito è quello relativo alle misure di sicurezza minime di cui all’Allegato B del Codice (ante – riforma). Tale allegato è stato abrogato dal d.lgs. 101/2018, e pertanto, ad oggi, la norma di riferimento dev’essere l’art. 32 GDPR, che disciplina la sicurezza del trattamento, imponendo a Titolare e Responsabile la messa in atto di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. È bene sottolineare, tuttavia, che l’eliminazione dello standard minimo, con conseguente introduzione del solo standard di adeguatezza, non implica necessariamente una revisione dell’intero sistema di protezione del dato. Infatti, può ben darsi che le misure minime precedentemente adottate possano ritenersi comunque adeguate, a seguito di un’attività di analisi dei rischi. In fondo, un giudizio di adeguatezza presuppone che l’azione sia calibrata sulla singola realtà considerata, per cui un ufficio situato in un piccolo paesino di montagna avrà meno probabilità di essere oggetto di furti (e, quindi, basterà dotarsi di semplici accorgimenti, calibrati caso per caso), rispetto ad un ufficio collocato in una cittadina con un elevato tasso di criminalità (il quale dovrà, magari, installare un sistema di videosorveglianza e/o allarme antiintrusione). Questo aspetto è frutto dei principi del nuovo GDPR, incentrati sulla responsabilizzazione (accountability) e sul principio privacy by design, con l’obiettivo di stimolare un’azione propositiva del Titolare in merito alla protezione effettiva del dato personale. Sicuramente, tuttavia, si pone in capo al Titolare l’obbligo di eseguire una revisione dell’intero sistema di sicurezza, previa attività di analisi dei rischi, giacché il giudizio di adeguatezza non può prescindere da una valutazione ed un controllo di merito dell’assetto di data protection.

In correlazione all’aspetto appena considerato si pone la questione relativa agli amministratori di sistema. Il Garante, con un provvedimento del novembre 2008, ha individuato tali soggetti, in via generale, in ambito informatico, nelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, nonché nelle altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Nel Regolamento europeo sulla protezione dei dati personali non si fa alcun riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, pur trattandosi di una figura implicitamente richiamata, in alcune norme, per le sue specifiche competenze tecniche, per esempio dove si dice che al titolare del trattamento, e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche - informatiche per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR). A ciò si aggiunga che, come già ricordato, il neo – decreto ha abrogato l’Allegato B, che conteneva l’unico riferimento agli Amministratori di Sistema, per cui si potrebbe parlare di una soppressione dell’obbligatorietà di tale figura (salvo che non emerga la necessità e/o l’opportunità di una sua nomina, ai sensi di un giudizio ex art. 32 GDPR).


Le novità sanzionatorie

Uno dei profili più significativi è quello riguardante il quadro sanzionatorio, che si presenta molto diversificato. Il d.lgs. 101/2018 ha recepito in toto le sanzioni amministrative di cui all’art. 83, paragrafi 4 e 5, del Regolamento, riferendole alle violazioni previste dall’art. 166 del Codice. Pertanto, ad oggi, le sanzioni amministrative previste a livello nazionale per l’inosservanza delle regole in materia di privacy si sommano a quelle introdotte dal Regolamento UE (punite fino a 10 milioni di euro, o fino al 2% del fatturato annuo globale dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo; fino a 20 milioni di euro, o fino al 4% del fatturato annuo globale, per inosservanza dei principi di base del trattamento, come prevede l’art. 83 GDPR). Nel codice, inoltre, sono previste anche ulteriori ipotesi illecito (artt. 167, 167 bis, 167 ter, 170, 171, nella loro nuova formulazione) integrate dalla previsione del danno all’Interessato come elemento caratterizzante, in alternativa allo scopo di profitto. A tutto questo si aggiungono i reati espressamente previsti dal Codice Penale (reati informatici e di trattamento illecito di dati), alcuni dei quali possono costituire reati – presupposto per l’applicazione del d.lgs. 231/2001 in materia di responsabilità amministrativa dell’ente.

Ancora, a compimento del quadro delineato, si trovano i provvedimenti correttivi introdotti dal Regolamento all’art. 56 par. 2 lett. da a) ad h) e j), che prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti, con evidente e immediato danno economico e reputazionale particolarmente rilevante.

In conclusione, una buona notizia: all’art. 22, comma 13 del D.lgs. 101/2018, si legge: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto [e quindi fino al 19/05/2019], il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”; il che non significa che l’attività ispettiva è sospesa, ma soltanto che, nel primo periodo di cosiddetto – rodaggio, l’Autorità di controllo (ovvero, il Garante) sarà più clemente. È bene, quindi, sfruttare al meglio questa fase di transizione, per adeguarsi alle disposizioni previste dalla nuova disciplina in materia di protezione dei dati personali, che nasce da un connubio tra il novellato Codice della Privacy e il GDPR.



QSA S.r.l. può fornire alla tua azienda il supporto per l'adeguamento e l'implementazione della gestione della Privacy nel rispetto del Nuovo Regolamento. Consulta il nostro servizio sulla privacy o scrivi a info@qsa.it per richiedere maggiori informazioni.