Il 4 settembre 2018 è stata pubblicato In Gazzetta Ufficiale il d. lgs. 10 agosto 2018 n. 101, la cui entrata in vigore sarà il 19 settembre 2018. Da una prima lettura si evidenziano alcune novità.
Oltre all’assegnazione al Garante della Privacy del compito di promuovere l’adozione di regole deontologiche che dovranno essere oggetto di consultazione pubblica, per almeno 60 giorni, prima di essere approvate, il decreto legislativo stabilisce, per un periodo transitorio, l’efficacia dei provvedimenti e delle autorizzazioni generali del Garante nonché dei Codici deontologici vigenti.
Di particolare significatività è la novità relativa al consenso al trattamento dei dati da parte dei minori di 14 anni, lecito se prestato da chi esercita la responsabilità genitoriale in merito ai servizi delle società di informazione.
La norma si sofferma sul legittimo interesse correlato al diritto di difesa e identifica, in apposito elenco, per il trattamento di categorie particolari di dati personali, i casi di interesse pubblico rilevante per i trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri.
Tutti gli organi giudiziari sono tenuti alla nomina del Responsabile della protezione dei dati.
Sono richieste misure di garanzia disposte dal Garante per il trattamento di dati genetici, biometrici e relativi alla salute. Tra di esse sono richiamate la cifratura, la pseudonimizzazione, misure di minimizzazione, specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali misure necessarie per garantire i diritti degli interessati.
Vi è poi il riconoscimento per i defunti dei diritti previsti dal G.D.P.R., esercitabili da chi ha un interesse proprio o agisce a tutela dell’interessato, quale mandatario o per ragioni familiari meritevoli di tutela. E’ tuttavia possibile che l’interessato vieti tale esercizio.
E’ introdotta la figura dei designati al trattamento, ossia persone fisiche che operano sotto la diretta autorità del Titolare o del responsabile del trattamento e da questi previsti per specifici compiti e funzioni connessi al trattamento dei dati personali.
Per le PMI, il Garante promuove modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Sono abrogate le sanzioni penali sovrapponibili a quelle amministrative e sono introdotti nuovi reati quali il trattamento illecito di dati, la comunicazione, diffusione illecita di dati, l’acquisizione fraudolenta di dati, le false dichiarazioni al Garante, l’inosservanza dei provvedimenti del Garante e la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Per i procedimenti pendenti relativi a violazioni amministrative, è consentita la definizione agevolata previo pagamento di una favorevole oblazione; per i reati depenalizzati, definiti prima dell’entrata in vigore del decreto, è prevista dal giudice dell’esecuzione la revoca della sentenza o del decreto.
Da ultimo, per i primi otto mesi dall’entrata in vigore del presente decreto, il Garante terrà conto, ai fini delle sanzioni amministrative e nei limiti della loro compatibilità con i dettami del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.