GDPR e 25 maggio sono ben noti alle aziende. Per l’Italia, abbiamo adesso due nuovi elementi da ricordare: un nuovo Codice Privacy, in vigore dal 19 settembre e 8 mesi di ragionevolezza del Garante nell’applicazione delle sanzioni.
Nello specifico: il Decreto Legislativo 101 del 10 agosto ha allineato il Codice Privacy con il Regolamento e, per otto mesi dall’entrata in vigore, il Garante – ai fini delle sanzioni amministrative – tiene conto ‘della prima fase di applicazione‘. Non si tratta di una moratoria, ma di una benvenuta indicazione di ragionevolezza rivolta a chi è chiamato a vigilare sul rispetto della legge privacy e per le aziende è un’indicazione importante, data la complessità del paradigma delineato dal GDPR e rifinito dalla legge delega. Da sottolineare l’inciso che limita la ragionevolezza alla compatibilità con il GDPR, per cui ipotizziamo che la specifica realtà di trattamento oggetto di attenzione avrà un ruolo importante.
Un’altra buona notizia: il Garante individuerà modalità semplificate di implementazione del GDPR per piccole e medie imprese. Aspettiamo però l’intervento per valutarne l’effettiva portata, poiché le semplificazioni possono insistere sulle modalità di adeguamento, non sugli obblighi; inoltre le aziende potrebbero (e dovrebbero) aver già provveduto ad adeguarsi al GDPR.
Il legislatore nazionale ha preferito intervenire sull’esistente Codice Privacy modificando quanto necessario alla luce del Regolamento. La scelta desta qualche perplessità, perché il Codice Privacy era stato già rivisto e aggiornato in diverse occasioni e questa ulteriore, significativa rivisitazione si traduce in una farraginosità del testo che obbliga operatori e aziende a un difficile lavoro di interpretazione.
Il Garante è chiamato a realizzare una serie di interventi per rivisitare gli strumenti utilizzati come correttivi del Codice Privacy. Si tratta in primo luogo delle autorizzazioni generali e dei codici di deontologia, che saranno rivisti e aggiornati con modalità e tempi diversi.
Per i provvedimenti del Garante emessi prima del 25 maggio e, in generale, per le disposizioni privacy previgenti non è previsto un intervento specifico: il Decreto di adeguamento si limita a confermarli nei limiti di compatibilità con lo stesso e con il GDPR. Viene dunque assicurata la continuità, anche se spetta alle aziende il non semplice compito di coordinamento.
Casi particolari
I dati genetici, biometrici e relativi alla salute saranno oggetto di specifico provvedimento del Garante che, con cadenza almeno biennale, individuerà le specifiche misure di garanzia e condizioni di trattamento applicabili.
Infine, per alcuni trattamenti particolari, ad esempio il trattamento dati in ambito dei rapporti di lavoro e di ricerca scientifica, il Garante potrà adottare delle specifiche regole deontologiche. Si tratta di un correttivo efficace che permetterà alle parti interessate di sottoporre all’attenzione del Garante le proprie esigenze operative e di mercato.
Il trattamento dei dati c.d. giudiziari, cioè relativi a condanne penali e reati, resta lecito quando consentito da una disposizione di legge, regolamento o da un decreto del Ministro della giustizia, emanato previa consultazione del Garante. Da notare il riferimento alla possibilità di trattare questi dati, a determinate condizioni, nell’ambito di gare d’appalto, attribuzione del rating di legalità delle imprese e rapporti di lavoro. Questa tipologia di dati resta dunque soggetta a limitazioni stringenti, per cui le aziende dovranno valutarne il trattamento con grande attenzione.
E’ possibile, anche se solo in specifiche ipotesi, limitare i diritti privacy degli interessati; ad esempio per tutelare la riservatezza del dipendente che effettua una segnalazione ai sensi della legge sul whistleblowing. Quando i diritti privacy sono limitati è prevista la possibilità di un esercizio mediato tramite il Garante.
Per il c.d. direct marketing attraverso mezzi automatizzati (cioè assenza di un operatore) è confermata la necessità di ottenere il consenso. Questa disposizione deve essere coordinata con il GDPR, che in certi limiti riconosce l’interesse legittimo come base giuridica valida per le attività di marketing diretto.
Le aziende possono continuare a delegare internamente specifici compiti in materia privacy (il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome) e soprattutto possono scegliere come, in concreto, autorizzare il personale al trattamento dei dati, beneficiando di una certa discrezionalità nel definire il proprio modello organizzativo privacy.
Le fattispecie penali sono riproposte con alcune modifiche, ad esempio la reclusione fino a sei anni per comunicazione/diffusione illecita di dati e quattro anni per acquisizione fraudolenta.
In conclusione, il nuovo Codice Privacy risponde ad alcune domande poste dal GDPR ma lascia aperte diverse questioni, che auspicabilmente saranno chiarite nei prossimi mesi dall’intervento del Garante privacy.
__________
Avv. Francesca Gaudino – Partner, Baker McKenzie
