Si ripercorrono le novità del Dlgs 101/2018 alla luce della rivoluzione introdotta regolamento Gdpr

Non stata è stata mai prevista un’integrale abrogazione del Codice, ma, anzi, il nostro Legislatore ne ha promosso un mantenimento migliorativo. Così oggi l’interprete non può in alcun modo rinunciare ad avvalersi del testo del Regolamento, di quello del decreto legislativo 101/2018, nonché di quello del Codice, in particolare di quel che rimane.

Proviamo a ricostruire una sorta di “prontuario” di metodi e strumenti necessari per titolari, responsabili, Dpo ( Data protection officer ) e non ultimo “consulenti privacy”, che scelgono di “fare per bene” il loro lavoro. A tal proposito, le check list consentono di effettuare un primo screening delle criticità e degli eventuali gap da colmare.

Si può affermare che i giudici italiani hanno in parte anticipato i princìpi espressi dal Gdpr, che ha confermato che la protezione dei dati personali deve essere considerata un valore supremo, attorno al quale è stata “ricostruita” una disciplina che vuole rappresentare un nuovo modo di intendere diritti e doveri nel «mercato digitale», che non conosce confini.

Di nuova introduzione, nelle definizioni, si rinvengono la profilazione e la pseudonimizzazione. La «Profilazione» è una pratica assai penetrante che può avvenire in modo non del tutto trasparente per l’interessato. Donde la necessità di una precisa definizione, di informazione ad hoc , di specifiche misure.

L’articolo 5 impone che i dati personali siano trattati in modo lecito, corretto e trasparente. La liceità implica il rispetto delle norme, generali o specifiche, dell’ordinamento tutto; la correttezza il rispetto della buona fede nei rapporti con l’interessato e, infine, occorre assicurare la consapevolezza dell’interessato .

Il Titolare non è libero di scegliere la base giuridica che preferisce, ma deve valutare quale sia quella più idonea rispetto al trattamento che intende porre in essere. Una delle peculiarità che, in punto di liceità, differenzia dalla precedente normativa il Gdpr, è che quest'ultimo non è più “consensocentrico”.

Il trattamento è lecito soltanto nel caso in cui ricorra almeno una delle basi indicate all’articolo 6. La prima è il consenso dell’interesssato per una o più specifiche finalità. Eppoi è lecito, se è necessario sia all’esecuzione di un contratto di cui l’interessato è parte, sia all’esecuzione di misure precontrattuali adottate su richiesta dallo stesso.

Il consenso consiste in qualsiasi volontà dell’interessato che sia specifica, informata e inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento. Si parla di vizio di consenso quando la volontà sia falsata per errore, violenza o dolo dando luogo a una delle cause di nullità del contratto concluso grazie a un consenso viziato.

Il “nuovo” Codice privacy prevede che l’offerta sui servizi offerti a distanza per via elettronica e le informazioni relative al trattamento dei dati dovranno essere redatte dal titolare del servizio con un linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile al minore.

È stato stabilito un generale divieto di trattamento di tutti quei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale. Il divieto vale anche per i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale.

Il Titolare, in ragione dell’attività che svolge, può trovarsi nella necessità di trattare dati personali relativi a condanne penali, reati o misure preventive. E questo accade quando il datore, per il tipo di attività svolta, ha la necessità di richiedere ai dipendenti il casellario giudiziario. I dati devono rimanere blindati a meno di rilevanti finalità di ordine pubblico.

I Titolari quando non riescono in modo assoluto a identificare gli interessati sono sollevati dagli obblighi di responsabilizzazione. E quindi al fine di valutare l’effettività della potenziale identificazione dell’interessato è necessario identificare diversi fattori quali costi, i tempi, i mezzi e le tecnologie a disposizione del Titolare.

Con l’abrogazione dell’articolo 13 del Dlgs 196/2003 a opera del Dlgs 101/2018, e in particolare del comma 3 del medesimo articolo «Il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita. Con tutta probabilità le informative iconografiche sulla videosorveglianza erano già tutte illegittime dal 25 maggio 2018.

Il Regolamento, in ottemperanza alla normativa Ue, non ha potuto prescindere dal diritto del singolo di ottenere la rettifica delle informazioni che lo riguardano a seguito di accesso. Il considerando 63 precisa che il soggetto debba essere messo nelle condizioni di poter accedere facilmente ai dati, ma il sistema deve fornire sufficienti garanzie.

L’articolo 16 del Regolamento prevede che i dati personali debbano essere esatti e, quindi, in caso contrario è necessario adottare tutte le misure necessarie per fare fronte all’inesattezza. Occorre, pertanto, che vengano cancellati o rettificati tempestivamente. La rettifica può presentare vari gradi di difficoltà a seconda di cosa occorre modificare.

I dati non vanno conservati per sempre e l’interessato ha diritto alla loro cancellazione anche se non sono più necessari rispetto alle finalità del trattamento per i quali sono stati raccolti o altrimenti trattati. In passato invece il diritto all’oblio è sempre stato invocato per motivi attinenti alla reputazione dell’interessato.

In linea generale il diritto a opporsi riconosciuto al singolo nella gestione dati può essere dettato da motivi personali. Una disciplina particolare è introdotta dal Regolamento europeo per il diritto di opposizione qualora il trattamento sia finalizzato alle attività di marketing diretto. In tal caso l’interessato può opporsi anche senza motivi personali.

L’esercizio dei diritti da parte dell’interessato è sottoposto ad alcune limitazioni contenute nella nuova normativa, tra cui spiccano lo svolgimento di investigazioni difensive, l’esercizio di un diritto in sede giudiziaria e la riservatezza del dipendente coinvolto nel caso di whistleblowing.

Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Se le finalità e i mezzi del trattamento sono determinati dal diritto dell’Unione, il titolare o i criteri specifici applicabili possono essere stabiliti dalla Ue.

I soggetti obbligati a tenere il registro sono le imprese con più di 249 dipendenti. Quelli il cui trattamento presenta un rischio per i diritti e le libertà dell’interessato. La custodia - a maggior ragione - riguarda i dati sensibili (origine razziale, le opinioni politiche) e i dati personali delle persone relativi a condanne penali.

Il Gdpr prevede sanzioni che possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale totale annuo dell’esercizio precedente, nei casi di violazioni degli obblighi del Titolare e del Responsabile del trattamento che possono configurarsi anche in caso di mancata o inadeguata cooperazione con le autorità di controllo.