Mercoledì 19 settembre 2018 è entrato in vigore il D.Lgs. 101/2018 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento GDPR UE 2016/679, pubblicato in Gazzetta Ufficiale il 04/09/2018.
Il decreto lungamente atteso aggiorna il vecchio Codice della Privacy 196/2003, in esso viene ribadita la preminenza del GDPR UE ed è bene chiarire che dal 19 settembre il decreto entra in vigore in ogni sua parte, pertanto il Garante della Privacy, la Pubblica amministrazione, Ente o Impresa devono applicare le norme relative.
In sostanza le sanzioni sono già applicabili pienamente, tuttavia nei primi 8 mesi (dal 19/09/2018), il Garante dovrebbe tener conto dei problemi, di non sempre facile soluzione, incontrati dalle Imprese e nei casi in cui la violazione non sia grave e comunque il Titolare del Trattamento si stia già adeguando al GDPR, il Garante potrebbe semplicemente limitarsi a dei richiami correttivi, come previsto dall’art. 58 del GDPR stesso.
Alcune note rilevanti:
1) Informativa Privacy e Consenso: Nessuna novità, valgono tutte le regole del GDPR.
2) Misure di sicurezza da applicare al Trattamento di dati personali: continuano a valere le norme previste dal GDPR.
3) Diritti degli Interessati: non ci sono modifiche significative, tuttavia sono chiariti i casi in cui l’esercizio dei diritti degli interessati può subire delle limitazioni è per esempio quello delle richieste che possano pregiudicare i trattamenti svolti per finalità giudiziarie.
Ulteriori argomenti trattati dal decreto 101/2018, non direttamente rivolti alle piccole imprese:
- Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
- Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute
- Principi relativi al trattamento di dati relativi a condanne penali e reati
- Trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale
- Responsabile della protezione dati per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni
- Trattamenti di dati personali per fini di sicurezza nazionale o difesa
- Trattamento di dati personali in ambito sanitario
- Dati relativi ad attività di studio e ricerca
- Servizi di comunicazione elettronica
- Giornalismo, libertà di informazione e di espressione
- Sanzioni
- Violazioni amministrative
- Illeciti penali
- Forze di polizia
Molto è stato demandato al Garante della Privacy in materia di Linee Guida e semplificazioni, tuttavia come abbiamo già ribadito nessuno può permettersi di rinviare sine die il proprio adeguamento al GDPR e al decreto 101/2018, le sanzioni sono ora molto più pesanti rispetto al vecchio Codice Privacy 196/2003 è bene tenerne conto.