GDPR: decreto di adeguamento pubblicato in Gazzetta Ufficiale

Ad inizio agosto avevamo riassunto le principali novità contenute nel decreto legislativo in materia di GDPR (GDPR armonizzato con la normativa italiana: periodo transitorio di 8 mesi) che adesso è stato pubblicato in Gazzetta Ufficiale.

Ora che il provvedimento è apparso sul principale strumento di diffusione, informazione e ufficializzazione di testi legislativi del nostro Paese, è possibile fare un sunto degli aspetti di maggiore interesse.

Innanzi tutto, chi volesse consultare in proprio il testo del Decreto Legislativo 10 agosto 2018, n. 101 può farlo facendo riferimento a questo link. L’entrata in vigore del provvedimento è fissata per il 19 settembre 2018 proseguendo quindi con quella sovrapposizione e parziale contrasto tra normativa nazionale ed europea.

L’articolo 22, comma 13 indica che “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie“. In altre parole, come avevamo anticipato un mese fa, il Garante verosimilmente si asterrà dall’erogare sanzioni o se vi fosse necessità di irrogarle saranno di certo blande. Si tratta insomma dell’applicazione di quel criterio prudenziale cui aveva fatto riferimento anche il Garante Antonello Soro qualche tempo fa.

Per il resto scende a 14 anni l’età a partire dalla quale il minore potrà autonomamente autorizzare il trattamento dei suoi dati sulla rete Internet mentre per i soggetti di età inferiore rimane l’obbligo del consenso genitoriale.
Il decreto “sdogana” anche la raccolta di dati biometrici e quelli relativi alla salute degli individui a patto però di attenersi scrupolosamente alle misure definite dal Garante.
La norma prevede anche che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento a beneficio delle micro, piccole e medie imprese.

Per gli illeciti verificatisi prima del 25 maggio 2018, data in cui il GDPR ha acquistato piena efficacia, il decreto prevede sanzioni – attivabili su richiesta dell’interessato – ridotte a 2/5 del minimo edittale stabilito dal D.Lgs. 196/2003 quindi 2.400 euro.
Con il nuovo impianto vengono invece confermate le sanzioni fissate a livello europeo ovvero fino a 20 milioni di euro o il 4% del fatturato mondiale annuo.
Per il trattamento illecito di dati personali sono invece previste, nei casi più gravi, anche sanzioni penali con la reclusione fino a tre anni.

Giovanni Buttarelli, Garante Europeo per la protezione dei dati, aveva criticato diverse formulazioni del nuovo decreto appena pubblicato in Gazzetta Ufficiale. Alcune enunciazioni sono state ritenute eccessivamente “orizzontali” andando a ribadire temi e concetti già ricompresi nel testo approvato in sede europea.
Vengono additati con sarcasmo i riferimenti alla possibilità di modificare la volontà delle persone decedute o a quella di esercitarne i diritti; viene inoltre ricordato il ruolo del Garante che non è certo, in primis, quello di agire in giudizio nei confronti del titolare del trattamento.
Le osservazioni di Buttarelli, rese durante un’audizione in Senato ad inizio giugno scorso, possono essere lette in questo documento.