Informative

Ieri, 19 settembre 2018, è entrato in vigore il Decreto Legislativo 10 agosto 2018 n. 101 su GU n. 205 del 4/09/2018 titolato:

<<Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)>>.

Modifica il Codice Privacy italiano – D. Lgs 196/2003 – introducendo disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo – GDPR –  relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.

Esso, contrariamente alle aspettative, non abroga affatto la vecchia normativa italiana – D. Lgs. 196/2003 Codice Privacy – ma effettua degli interventi integrativi e modificativi per raccordare la normativa italiana a quella europea. Operazione difficile visto che il Regolamento Europeo ha introdotto, tra l’altro, il principio dell’accountability attuando quindi una prospettiva completamente diversa.

La scelta operata dal legislatore è, quindi, all’insegna della continuità. Infatti, per un periodo transitorio, sono fatti salvi, e quindi restano efficaci, i provvedimenti del Garante e le autorizzazioni generali (come, per esempio, la 1/2016 <<Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro) che saranno oggetto di successivo riesame anche per coordinarsi con il GDPR.

Inoltre, per agevolare l’adeguamento alle micro, piccole e medie imprese, il D. Lgs. 101 dispone che il Garante per la protezione dei dati personali dovrà promuovere modalità semplificate di adempimento.  Modalità che formeranno oggetto di future disposizioni.

Tra le varie integrazioni introdotte dal Decreto in esame, segnaliamo la sopravvivenza della figura dell’<<incaricato>>. Figura assente nel GDPR. Per la normativa italiana, l’incaricato, persona fisica, deve essere formato e nominato da parte del Titolare del Trattamento.

Infine, al contrario delle notizie circolate recentemente, non esiste alcun periodo transitorio di applicazione della nuova normativa contenuta nel GDPR che è invece completamente operativa fin dal 25 maggio scorso. Per mitigare gli obblighi introdotti dal GDPR, il Decreto 101/2018 si limita a raccomandare al Garante, solo ai fini della applicazione di eventuali sanzioni, di tenere conto per otto mesi dalla entrata in vigore del decreto (cioè fino al 19/05/2019) della fase di prima applicazione delle norme sanzionatorie.