Cosa cambia con l’armonizzazione del Codice della Privacy

Facebook
Twitter
LinkedIn
Il D.Lgs. 101/2018, in vigore dal 19 settembre, armonizza il Codice della Privacy (D. Lgs. 196/2003) alle indicazioni del Regolamento UE 2016/679. Come impatta questo decreto sul tessuto normativo nazionale?

Il Decreto 101/2018 è una norma non autoreferenziale, anzi: il suo scopo è quello di revisionarne un’altra (D. Lgs. 196/2003), riattualizzandola e armonizzandola nei confronti di una norma di rango superiore (il Regolamento UE 2016/679, di seguito denominato GDPR, nel suo acronimo inglese).

Il risultato di tale intervento, quindi, consiste nel dare al Codice della Privacy una struttura e un contenuto in tutto e per tutto coordinati rispetto al GDPR.

E’ il risultato di un chirurgico lavoro di “taglia e cuci”:

– “taglia” tutti gli articoli della norma che sono in contrasto con il GDPR;

– “cuci” gli articoli del Codice della Privacy con i correlati articoli del GDPR.

Il risultato è un coordinato di norme, che va a definire in maniera integrata la base normativa nazionale in tema di protezione dei dati personali.

Per capire la filosofia, vediamo come si istanzia questa opera di “taglia e cuci” in alcuni contesti significativi.

1) Pubblica Amministrazione.

Il Codice della Privacy ante 101/2018 legiferava sulla Pubblica Amministrazione attraverso 5 articoli di legge, dal 18 al 22, dove venivano disciplinati i trattamenti consentiti per le PA a seconda dei dati trattati, distinguendo i dati sensibili e giudiziari dagli altri. Il Decreto 101 “taglia” in toto tutti questi articoli, riproponendo il trattamento di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri con il nuovo articolo 2-ter, “cucendolo” alle basi di liceità del trattamento sancite all’art. 6 par. 3 lett b) del GDPR. Quindi la disciplina dei trattamenti della PA è un coordinato del Codice della Privacy che richiama il GDPR. Le indicazioni non sono così differenti rispetto a quanto precedentemente sancito: per esempio, le indicazioni in tema di comunicazioni di dati tra le PA per tipologie di dati non particolari o giudiziari specificate all’art. 2-ter c. 2 sono quasi uguali a quanto precedentemente indicato all’art. 19 c. 2 (abrogato a partire dal 19/09/2018).

La diffusione, cioè la pubblicazione on line di dati personali non particolari, è disciplinata all’art. 2-ter c. 3; una indicazione equipollente a quanto precedentemente indicato all’art. 19 c. 3 (sempre abrogato a partire dal 19/09/2018). E’ in sostanza ammessa solo se prevista da norma di legge o, nei casi previsti dalla legge, di regolamento.

2) I “ruoli” della Privacy –  Titolare, Responsabile, Incaricato

In questo caso, il “taglio” è netto: l’articolo che definiva questi tre ruoli (art. 4) viene completamente abrogato, così come vengono abrogati gli articoli che ne definivano compiti e responsabilità (artt. 28, 29, 30). Rimangono le definizioni all’art. 4 del GDPR, a cui il Codice della Privacy novellato fa richiamo. Gli “incaricati” scompaiono, lasciando il posto ai soggetti “autorizzati” al trattamento così come descritto nel GDPR.

E’ molto importante, dal punto di vista operativo e organizzativo, notare l’ampio spazio all’autodeterminazione che viene lasciato al titolare e al responsabile del trattamento nella individuazione delle modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta (art. 2-quaterdecies). Una visione del tutto in linea con il principio di accountability sancito dal GDPR, che prevede la piena responsabilizzazione del titolare nell’organizzazione del proprio sistema di gestione privacy.

Come sarà quindi il Codice della Privacy dopo il 19/09/2018 e che valore avrà?

Il D. Lgs. 196/2003 verrà pesantemente ridimensionato, con molti articoli abrogati e molti richiami alla norma di rango superiore, rappresentata dal Regolamento Europeo. Non perderà però il suo peso specifico normativo, infatti resterà il punto di riferimento della protezione dei dati in Italia.

Quali saranno i riferimenti normativi da citare in tema di protezione dei dati personali?

Sarà adeguato richiamare il Regolamento UE 2016/679, che è la norma di rango superiore e specifica anche i principi di liceità del trattamento all’art. 6. E’ inoltre coerente richiamare il D. Lgs. 196/2003, soprattutto in quei contesti in cui il Regolamento UE ha lasciato autonomia decisionale normativa alle autorità nazionali (es. nel caso del trattamento di dati biometrici o dell’età a cui il minore può prestare consenso al trattamento, cioè in Italia 14 anni).

Non è necessario il riferimento al decreto di armonizzazione 101/2018, poiché, una volta entrato in vigore, il suo effetto sarà immediato sul Codice delle Privacy.

E’ però necessario fare attenzione a non richiamare articoli del D. Lgs. 196/2003 abrogati.

Nelle informative, ad esempio, il riferimento normativo sono gli artt. 13 o 14 del Regolamento UE (a seconda che il dato venga raccolto o meno presso l’interessato), poiché il vecchio articolo 13 del Codice della Privacy è abrogato col D.Lgs. 101/2018.
_______________________________________________

SI.net affianca soggetti pubblici e privati con un servizio a tutto campo sulla protezione dei dati personali, che spazia dagli elementi tecnologici ai contesti normativi, con grande attenzione alle implicazioni organizzative che una tematica così rilevante comporta.

Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter, Facebook, YouTube e LinkedIn

 

Salva

Salva

Salva

Salva

Salva

Salva