Nuovo Decreto Privacy: alcuni aspetti concreti di cambiamento
Con il D.lgs 10 agosto 2018, n. 101, si interviene sul Codice Privacy d.lgs 193/03, rendendolo compatibile con le norme del GDPR. Sarebbe stato auspicabile un azzeramento del vecchio Codice, come in un primo tempo prospettato, che avrebbe certamente semplificato l’opera di lettura normativa. Ma così non è stato.
In alcuni ambiti pertanto nulla cambia, anche se il layout normativo prescelto per i singoli articoli del decreto può indurre a ritenere, da una lettura superficiale, si tratti di revisioni profonde.
Scontato il salvataggio, dunque, di una serie di norme del vecchio codice, anche per l’esplicito rinvio alla normativa degli Stati, da parte del legislatore europeo, come ad esempio tutta la materia dei trattamenti in materia di rapporti di lavoro (nda parte II, titolo VIII del d.lgs 196/03 e art. 9 del decreto) in cui la norma principe rimane l’art. 4 dello Statuto dei lavoratori, a cui si affiancano le nuove disposizioni in materia di Whistleblowing di cui alla legge 179/2017 richiamate espressamente dal decreto.
Ma non mancano le novità.
Minori e consenso – Ci si riferisce ad esempio al limite di anni 14 (art. 2 del decreto e art. 2 quinquies del d.lgs 196/03), al di sotto del quale si rende necessario il consenso genitoriale per usufruire di servizi della società dell’informazione. Va ricordato che sotto tale espressioni ricadono tutti quei servizi attinenti il mondo digital, quali posta elettronica, social, community etc…
Il limite era stato fissato dal GDPR ad anni 16, ma con facoltà per gli Stati di fissarne uno diverso purchè non inferiore ad anni 13 (art.8 co.1 GDPR). Ciò comporterà sicuramente complessità tecniche per le multinazionali che si ritroveranno a dover adottare soluzioni diverse a seconda della cittadinanza del minore.
DPO anche per le Autorità Giudiziarie – Sempre l’art. 2 introduce l’art. 2-sexiesdecies nel Codice privacy, che impone l’obbligo di nomina del Data Protection Officer o Responsabile della protezione dei dati, per i trattamenti effettuati dalle Autorita’ Giudiziarie nell’esercizio delle loro funzioni, a norma della sezione 4, capo IV del Regolamento. Come in pratica si tradurrà, in contesti caratterizzati da vincoli di segretezza, un’attività di vigilanza del DPO sulla correttezza dei trattamenti da parte dei Pubblici Ministeri, sarà tutto da scoprire. Ma non si può che accogliere con soddisfazione una norma che sottoponga, attraverso il DPO, al vaglio del Garante, l’esercizio del controllo su una corretta applicazione delle norme relative alla protezione dei dati penali.
Micro, piccole e medie imprese – Con l’ampliamento dei poteri del Garante, viene introdotto (art.14 del decreto) l’art. 154 bis del Codice che, al co.4 prevede che sia l’Autorità Indipendente a disciplinare (promuove) forme di semplificazione degli adempimenti privacy per le micro, piccole e medie imprese.
Reintrodotte le misure di sicurezza – Il decreto mitiga gli effetti della filosofia di fondo del Regolamento (“datti un abito su misura”), reintroducendo le misure di sicurezza, ridenominandole “misure di garanzia” (art. 2 del decreto, art. 2 septies del codice), pur limitandole ai dati particolari (salute, genetici, biometrici, art. 9 del GDPR). Tali misure dovranno essere contenute in un provvedimento del Garante da emettersi con cadenza almeno biennale, per essere sempre al passo con le tecnologie.
Marketing diretto e registro delle opposizioni – Sul marketing diretto e con riguardo agli elenchi telefonici, il decreto non è intervenuto, recependo lo spirito del GDPR che ha espressamente indicato tale finalità (Considerando 47), come una delle ipotesi di legittimo interesse del titolare quale base giuridica del trattamento.
Tuttavia il Decreto precisa meglio, rispetto alla precedente formulazione dell’art.130 del Codice, “le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, pur mantenendo il limite dell’”impiego del telefono e della posta cartacea” e fatta salva iscrizione al registro delle opposizioni (art.130 co.3 bis del Codice).
Ciò comporta che le mail di contatto, ad esempio, non potranno essere utilizzate per vendite dirette, ricerche di mercato o comunicazioni commerciali.
Si ritiene che, in ogni caso, rimanga salva, sul piano generale la possibilità di ricorrere al legittimo interesse del Titolare (ar.6 co.1. lett.f), ma previo un bilancing test, per le finalità di utilizzo dei dati a fini di marketing diretto, purchè sia data agli interessati idonea informativa nei termini e nelle modalità previste dal GDPR
Le sanzioni – Le modifiche più rilevanti sono quelle che intervengono sulla Parte III, Titolo III, del Codice, in materia di sanzioni.
Il decreto definisce meglio le casistiche per cui ricorrono le sanzioni amministrative di cui al co.4 o al co. 5 dell’art.83 del GDPR. A titolo d’esempio l’omessa valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottoporre un programma di ricerca a consultazione preventiva del Garante, farebbe scattare le sanzioni previste dal co.4 dell’art.83
Al Garante sono altresì affidate le misure correttive ex art.58 co.2 del Regolamento.
Ma sono le fattispecie penali e le modifiche di quelle già previste dal Codice la vera novità
Ricordiamo che il Regolamento consente agli Stati di definire quadri sanzionatori diversi dalle sanzioni amministrative previste dallo stesso GDPR, purchè siano effettive, proporzionate e dissuasive ed in grado di assicurare l’applicazione della normativa (art.84 co.1 GDPR)
La fattispecie del co. 1 dell’art.167 (trattamento illecito di dati), sostanzialmente invariata, nelle condotte illecite (dolo specifico di profitto o danno per l’interessato, e violazione degli art. 123, 126, 130 o del provvedimento ex art.129 del codice) vede una lieve riduzione della sanzione massima da ventiquattro a diciotto mesi.
La violazione invece delle norme che disciplinano i trattamenti di dati particolari (art.9 GDPR) o di dati penali (art.10 GDPR), con particolare riguardo alle regole di cui all’ art. 2sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) ed ai principi di cui all’art.2 octies (Principi relativi al trattamento di dati relativi a condanne penali e reati), o per violazioni riguardanti le misure e gli accorgimenti imposti da Garante per trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico (art.2-quinquiesdecies), sempre che ricorra il dolo specifico, prevedono la reclusione da uno a tre anni se viene arrecato un danno all’interessato.
La stessa pena si applica nel caso di illecito trasferimento di dati all’estero.
Sanzionata penalmente anche la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala. (art.167 bis) in violazione alle norme che disciplinano la base giuridica del trattamento (art. 2 ter) o delle richiamate norme relative ai dati particolari o ai dati penali. Questo per impedire il proliferare di pericolose banche dati parallele. La reclusione in questi casi è da uno a sei anni.
Si pone come una fattispecie autonoma rispetto al reato di ricettazione (art.648 c.p.) invece il nuovo reato previsto dall’art. 167 ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) punito con la reclusione da uno a quattro anni. E’ ipotizzabile che le modalità fraudolente non debbano essere necessariamente di natura tecnica ma anche mediante l’utilizzo di altre forme subdole di sottrazione di dati cartacei o su altri supporti.
Restano invece sostanzialmente invariate le fattispecie di Falsita’ nelle dichiarazioni al Garante (art.168) a cui si aggiunge al co. 2 l’ipotesi della Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.
Mentre viene arricchita nelle condotte la fattispecie di cui all’art.170 (Inosservanza di provvedimenti del Garante) quando l’inosservanza riguardi un provvedimento di limitazione al trattamento (art.58 co. 2 lett.f del GDPR.)
Va ricordato inoltre che l’art. 3 del decreto introduce all’art.50 del Codice, un richiamo specifico alla fattispecie di cui all’art. 684 c.p. (pubblicazione arbitraria di notizie relative ad un procedimento penale) nel caso di pubblicazione di immagini e notizie in grado di consentire l’identificazione di un minore, anche per procedimenti diversi da quello penale.