Il Consiglio dei ministri dello scorso 8 agosto ha approvato il testo definitivo del “decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento europeo (UE) 2016/679”, completando in questo modo il percorso di adeguamento della normativa italiana a quella europea in materia di protezione dei dati personali, al fine di coordinare la normativa italiana con quella europea.
Si precisa che il citato decreto legislativo, in corso di pubblicazione sulla gazzetta ufficiale, non modifica il GDPR, che resta invariato, ma parrebbe intervenire in diverse e cruciali aree, dal trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici) ai diritti dei minori e dei defunti, dalla disciplina dei codici di deontologia e buona condotta di cui al Codice Privacy, alla ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dalla materia.
In particolare si evidenzia che:
- le regole deontologiche promosse dal Garante ai sensi del GDPR, dovranno essere sottoposte a consultazione pubblica per almeno 60 giorni;
- Il garante promuoverà linee guida per fissare modalità di adeguamento semplificate ad hoc per le PMI.
- i minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.
- • Per quanto riguarda i minori di 14 anni, invece, resterebbe in piedi il requisito del consenso avente la potestà genitoriale. Ed i titolari del trattamento dovranno scrivere informative chiare, semplici, concise ed esaustive, facilmente accessibili e comprensibili dal minore, “al fine di rendere significativo il consenso prestato da quest’ultimo”;
- i diritti dell’interessato, di cui agli articoli 15-22 del GDPR, potranno essere limitati o esclusi in determinati casi, quando entrano in contrasto con altre esigenze posta da leggi dello Stato, come nel caso dell’ambito applicativo delle norme antiriciclaggio, delle prerogative delle Commissioni Parlamentari d’inchiesta, dei trattamenti svolti in occasione dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria, o anche in caso di whistleblowing.
- la ricezione di CV ricevuti spontaneamente, l’informativa può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum medesimo ed il consenso al trattamento non sarà richiesto.
- relativamente all’aspetto sanzionatorio, in merito ad un possibile periodo di grazia e di sospensione dalle ispezioni (grace period), si deve precisare che in assenza del testo normativo è difficile capire esattamente l’intenzione del legislatore. È tuttavia possibile che, come accaduto in Francia, l’Autorità di controllo possa sospendere, seppure a certe condizioni, per un dato periodo le ispezioni o comunque l’applicazione delle sanzioni.
Vedremo quando il testo sarà pubblicato sulla gazzetta ufficiale, fermo restando che poi la questione passerà all’Autorità Garante che dovrà dare concreta, effettiva ed efficace attuazione alla normativa.