Il decreto attuativo n. 101 del 10 agosto 2018 del GDPR è stato pubblicato in Gazzetta Ufficiale il 4 settembre 2018. Le novità entreranno in vigore dal 19 settembre.
E’ datato 10 agosto il decreto legislativo che armonizza la legislazione italiana, nello specifico il D. Lgs. 196 del 2003 noto come Codice privacy, con il Regolamento generale europeo sulla protezione dei dati personali, ormai conosciuto come GDPR, e lo armonizza con la vigente legislazione italiana.
Le novità in materia di tutela dei dati personali stabilite dal GDPR sono diverse e viene salvaguardata una continuità rispetto al passato: i provvedimenti del Garante, le autorizzazioni generali e i Codici deontologici vigenti continueranno ad essere efficaci per il periodo transitorio.
Le modifiche più importanti, oltre all’eliminazione delle misure minime, riguardano alcuni settori specifici (quelli già approfonditi dal precedente Codice privacy e che includono Pubblica amministrazione, giustizia, sanità, istruzione, giornalismo) e le annunciate misure di semplificazione per le micro, piccole e medie imprese, per le quali dovrà tuttavia esprimersi il Garante per la protezione dei dati personali, promuovendo modalità semplificate di adempimento degli obblighi da parte del titolare del trattamento.
Si fa inoltre maggiore chiarezza riguardo alle sanzioni amministrative e penali previste in caso di violazione delle novità previste dal GDPR.
Le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo, in relazione alle violazioni degli obblighi chiariti dal decreto di adeguamento.
Il decreto introduce la possibilità - per alcuni provvedimenti - di pagare la sanzione in misura ridotta (pari a due quinti del minimo) entro il termine di 90 giorni dalla data di entrata in vigore del decreto attuativo; mentre per le violazioni commesse anteriormente alla data di entrata in vigore del decreto, potranno essere applicate le sanzioni amministrative previste dall’ex Codice sulla Privacy sostitutive delle sanzioni penali, qualora il procedimento penale non sia ancora stato definito con sentenza o decreto irrevocabili.
Altri cambiamenti riguardano l’età per esprimere il consenso al trattamento dei dati in relazione ai servizi online (superiore ai 14 anni); la possibilità di comunicare i dati degli studenti universitari per favorirne l’accesso al mondo del lavoro; le regole per i dati relativi alle persone decedute, alcuni obblighi informativi per i fornitori di servizi di trasmissione dati.
Sono infine precisati alcuni limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione).
Il D. Lgs. 101 stabilisce che Accredia è l’organismo di accreditamento italiano, a meno che il Garante non decida di assumere direttamente questo ruolo, per il meccanismo di certificazione previsto dal GDPR.
Un ulteriore impegno, necessario per attuare quanto specificato dal Codice privacy appena modificato, spetta all’Autorità Garante, al quale si prospetta un lavoro immane di messa in asse del sistema normativo a presidio della protezione dei dati personali.