Privacy: in arrivo il decreto di adeguamento al Gdpr

di Lucia Izzo - Il 25 maggio è alle porte, data nella quale entreranno ufficialmente in vigore le novità previste dal GDPR - General Data Protection Regulation, ovverosia il Regolamento europeo sulla privacy approvato il 14 aprile 2016, direttamente applicabile agli Stati membri.

Leggi anche GDPR: tutto quello che c'è da sapere

Tempi stretti, strettissimi, quelli a disposizione per l'esame e l'approvazione dello "Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679" (qui sotto allegato) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, attualmente assegnato alla Commissione parlamentare speciale per l'esame di atti del Governo.

L'ultima bozza trasmessa al Parlamento, enumera numerose e interessanti novità e diversità di scelte rispetto alle precedenti stesure, a partire proprio dall'abbandono dell'idea di eliminare completamente il Codice in materia di trattamento dei dati personali (d.lgs. n. 196/2003): il decreto punta a un'abrogazione "selettiva", attraverso un esteso intervento di "taglia e cuci", operando un gran numero di sostituzioni e integrazioni al provvedimento originario.

Codice Privacy: niente abolizione

In sostanza, vengono abrogate espressamente solo le disposizioni del Codice Privacy incompatibili con quelle del Gdpr (la massima parte) e modificate le altre limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento stesse, coordinando ove possibile quelle vigenti con le innovazioni in arrivo.

Ferma restando la prevalenza del Regolamento Europeo, si è scelto, dunque, di garantire la continuità, ove possibile, con il vecchio codice privacy quando possibile e sono stati fatti salvi, per un periodo transitorio, anche i provvedimenti del Garante della Privacy e le autorizzazioni, che saranno oggetto di successivo riesame di compatibilità, nonché i Codici deontologici vigenti.

Essi restano fermi nell'attuale configurazione nelle materie di competenza degli Stati membri, mentre potranno essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. Si sono, ancora, rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi.

La bozza necessita ora del parere delle commissioni parlamentari di Camera e Senato, oltre che del Garante Privacy, prima di ritornare a Palazzo Chigi per ottenere il via libero definitivo da parte del Consiglio dei Ministri. Il tutto dovrebbe avvenire in "lavorativi", entro il 21 maggio, poiché il tempo stringe in vista dell'entrata in vigore del Gdpr prevista per il 25 maggio.

Nell'attesa, ecco alcune delle più interessanti novità introdotte dallo schema di decreto legislativo.

Trattamento illecito dei dati: restano le sanzioni penali

Niente depenalizzazione a tappeto, le sanzioni penali per il trattamento illecito dei dati restano nella nuova bozza. Tuttavia, si è ritenuto di non potere mantenere il reato di cui all'art. 169 del previgente Codice, "Misure di sicurezza", non essendo più previste le misure minime di sicurezza.

Il nuovo art. 167, invece, punisce il trattamento illecito di dati con la reclusione da sei mesi a un anno e sei mesi e, ove sussistano determinati condizioni, la pena arriva fino a 3 anni di reclusione.

Resta anche la sanzione penale in caso di falsità nelle dichiarazioni al Garante: salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

Nuovi sono, invece, i reati di "Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone", punito con la reclusione da uno a sei anni, e di "Acquisizione fraudolenta di dati personali", punito con la reclusione da uno a quattro anni.

Minori: consenso su internet da 16 anni

In materia di servizi della società dell'informazione, vale a dire quei servizi prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario (ad esempio social network o servizi di messaggistica) il legislatore ha stabilito in 16 anni il limite di età valida per prestare il consenso al trattamento dei propri dati personali (anziché i 14 fissati nella prima bozza).

Una disposizione che si adegua a quanto indicato dall'art. 8 de Regolamento Europeo, a norma del quale: "Per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni".

Sempre in relazione a tali servizi, ma per gli infra-sedicenni il consenso al trattamento dei dati personali sarà lecito a condizione che sia prestato o autorizzato da chi esercita la responsabilità genitoriale.

La norma, si legge nella relazione alla bozza di decreto, è volta a tutelare il minore in quei contesti virtuali ove risulta maggiormente esposto a causa di una minore consapevolezza dei rischi insiti nella "rete". La disposizione, infatti, rende l'operatore consapevole del fatto che minori possono accedere ai servizi, e quindi richiede di apprestare le relative misure.

All'infuori dell'ambito dei servizi della società dell'informazione, permane in ogni caso il limite dei diciotto anni per la prestazione di un valido consenso al trattamento dei dati personali.

Sanità: addio consenso al trattamento dei dati?

Con riferimento ai dati genetici, biometrici e relativi alla salute viene attuata la delega riservata dal regolamento agli ordinamenti nazionali: il decreto stabilisce, infatti, che il relativo trattamento sia subordinato all'osservanza di misure di garanzia che verranno stabilite dal Garante per la protezione dei dati personali con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica.

Le misure di garanzia saranno adottate tenendo in considerazione le specifiche finalità di trattamento in relazione a ciascuna delle categorie di dati e nel rispetto delle condizioni alternative di legittimità del trattamento, previste dall'articolo 9, paragrafo 2 del regolamento.

Questa norma prevede, ad esempio, che il consenso non debba essere più richiesto ove il trattamento sia necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione europea o degli Stati membri o conformemente al contratto con un professionista della sanità, o se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica.

Va chiarito come non ci si stia riferendo, nella specie, al consenso informato alla prestazione sanitaria, ma a quello, in materia di privacy, riferito strettamente ai dati del paziente e alla loro raccolta, registrazione, elaborazione o le operazioni che li coinvolgono.