È stato pubblicato in Gazzetta Ufficiale in data 4.9.2018 il D. L.vo n. 101 del 10.8.2018, che entrerà in vigore il 19.9.2018, introdotto allo scopo di armonizzare le norme emanate dal Legislatore italiano nel Codice Privacy di cui al D. L.vo 196 del 2003 con quelle introdotte dal Regolamento Europeo nr. 679 del 2016, divenuto vincolante per tutti gli Stati membri il 25.5.2018.

In estrema sintesi segnalo le novità e le problematiche che lo stesso, ad una prima lettura, risulta apportare.

(1) Vengono previsti obblighi aggiuntivi (ulteriori rispetto a quelli previsti dal GDPR) per i dati biometrici e sulla salute, che potranno essere individuati e definiti dal Garante ogni 2 anni.

(2) L’organizzazione interna potrebbe diventare più complessa, posto che si fa ora riferimento alla figura della “persona delegata”, quasi a voler far rivivere la precedente figura del responsabile interno previsto dal Codice Privacy.

(3) È ora previsto che le comunicazioni marketing siano soggette alla base giuridica del consenso, creando problematiche interpretative circa la compatibilità con il GDPR, che opera invece riferimento, a riguardo, alla base giuridica costituita dall’interesse legittimo.

(4) Si prevede ora all’art.13 che “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento”, mentre precedentemente la segnalazione, per poter essere presa in considerazione ai fini sanzionatori, poteva essere presentata solo dall’interessato.

(5) Ampio spazio viene riconosciuto ora ai Codici di Condotta (ora rinominati “Regole Deontologiche”) contenuti nell’allegato A del precedente Codice Privacy, ma che dovranno essere riveduti e corretti alla luce delle norme europee e riproposti all’esame del Garante che dovrà valutarne la conformità rispetto alle stesse.

(6) Viene previsto un periodo transitorio di 8 mesi, che giunge conseguentemente sino al 18.6.2019, nel quale il Garante dovrà tener conto della prima applicazione del GDPR, periodo nel quale è da ritenere che tale Autorità sarà più “indulgente” nell’erogare le sanzioni, purché naturalmente sia stata quantomeno avviata la procedura di adeguamento prevista dal GDPR.

(7) In ambito penalistico vengono confermati i reati già previsti nel Codice Privacy del 2003 con le relative pene, mentre sono stati introdotti gli articoli 167 bis e ter. Il primo punisce con la reclusione da 1 a 6 anni e salvo che il fatto non costituisca più grave reato, “chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”, e inoltre, per i medesimi motivi, “chiunque diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione”.

Il secondo, invece, sulla base degli stessi presupposti punisce con la reclusione da 1 a 4 anni l’acquisizione “con mezzi fraudolenti (di) un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”.

Vi è inoltre un inasprimento della pena prevista in caso di inosservanza dei provvedimenti del Garante (da 3 mesi a 2 anni di reclusione), mentre si applica la reclusione anche nel caso di illecito controllo a distanza sui lavoratori (fattispecie di videosorveglianza in condominio con dipendente).