E’ stato finalmente pubblicato il decreto legislativo n°101 del 10 Agosto 2018 di adeguamento della normativa nazionale alle disposizioni del Regolamento Europeo sulla Privacy (GDPR), obbligatorio invece dal 25 Maggio scorso, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Tale decreto ha provveduto ad abrogare le disposizioni del d.lgs. n.196/2003 non più compatibili con il GDPR introducendone nuove, ma anche ad integrare e modificare le disposizioni che rimangono in vita. Ne è venuta fuori una versione del codice più ridotta ma anche più coerente con la normativa europea.
Vediamo alcune disposizioni rilevanti del decreto:
- Il minore, in attuazione anche dell’art.8 del GDPR, che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali. Il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6 del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.
- Il trattamento di dati genetici, biometrici e relativi alla salute è subordinato al rispetto di misure di garanzia disposte dal Garante ogni 2 anni. Misure di garanzia intese come tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
- I diritti dell’interessato possono essere limitati in caso di concreto pregiudizio per altri interessi normativamente tutelati (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura).
- Alcuni compiti e funzioni possono essere relegati a figure intermedie (persone fisiche) operanti sotto l’autorità e responsabilità del Titolare o del Responsabile. Tale disposizione risolve in parte le diverse problematiche sorte a seguito di quanto stabilito dall’art. 28 del GDPR che concepisce il solo responsabile esterno del trattamento.
- L’obbligo di informativa al paziente continua ad essere reso in area sanitaria con modalità semplificate. Lo stesso consenso dell’interessato, nella nuova formulazione dell’art. 110 del codice per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, del Regolamento, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 sempre del GDPR.
- Per i primi 8 mesi il Garante tiene conto, per quanto riguarda l’applicazione di sanzioni amministrative pecuniarie e nei limiti in cui risulti compatibile col GDPR , della fase di prima applicazione delle disposizioni sanzionatorie. Immaginiamo quindi che il Garante in questo lasso di tempo sia più clemente nell’emettere sanzioni.
- Il Garante ha il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del Titolare del trattamento.
Tale decreto entrerà ufficialmente in vigore il 19 Settembre 2018, completando così il quadro normativo.