Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Schema generale del corso IL DECRETO LEGISLATIVO DI ADEGUAMENTO AL G. D. P. R. diapositiva successiva Il decreto legislativo di adeguamento al G. D. P. R. Nozione Dopo il regolamento europeo sulla protezione dei dati personali numero 679 del 2016 (G. D. P. R. ), come noto è stato necessario emanare un decreto legislativo di adeguamento della normativa nazionale in materia di protezione dei dati personali e per la precisione il decreto legislativo numero 101 del 10 agosto 2018 pubblicato il 4 settembre sulla G.U. numero 205 che ha provveduto ad abrogare le disposizioni del decreto legislativo numero196/2003 non più compatibili con il G. D. P. R. introducendone nuove, ma anche ad integrare e modificare le disposizioni che rimangono in vita. Ne è venuta fuori una versione del codice più ridotta ma anche più coerente con la normativa comunitaria. Tale decreto è stato emanato nel rispetto di quanto sancito dall’articolo 13 della legge numero 163/2017 che contiene una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del G. D. P. R. . Nel complesso il decreto è suddiviso in sei Capi e si compone di 27 articoli, dedicati a specifici aspetti della materia. La tecnica legislativa adottata dal legislatore è stata quella di evitare di duplicare alcune disposizioni, molto simili ma non coincidenti, presenti sia nel regolamento che nel codice, operando cosi una scelta chiara. In effetti codice e regolamento sono informati a due filosofie diverse. Il regolamento, come è noto, è basato sulla cosiddetta accountability. Dunque il provvedimento comunitario non effettua la scelta in molti casi specifici, ma la rimette al titolare del trattamento che è chiamato ad effettuare una valutazione, ad assumere una decisione e a provare di avere adottato misure proporzionate ed efficaci. Inoltre, si è voluto dare un segnale del cambiamento intervenuto: cioè del passaggio dalla direttiva 95/46/CE al regolamento (UE) 679 del 2016. Dopo oltre 20 anni, la disciplina della protezione dei dati personali è stata oggetto di una riformulazione non formale ma sostanziale, essendo cambiato l’approccio stesso alla materia che oggi è dominata dal principio dell’accountability. diapositiva successiva I punti salienti Analizzando il testo legislativo si comprende come si sia scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Ma vediamo adesso le disposizioni più rilevanti. In materia penale, si è ritenuto di non potere mantenere il reato di cui all’articolo 169 del previgente Codice, “Misure di sicurezza”, non essendo più previste le misure minime di sicurezza. A fronte di elevatissime sanzioni amministrative dettate dal regolamento, si è ritenuto di non potere mantenere alcune delle sanzioni penali le quali si sarebbero sovrapposte a quelle amministrative violando così il principio del “ne bis in idem”. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. Le disposizioni concernenti le comunicazioni elettroniche non sono state particolarmente modificate, in attesa dell’emanando regolamento europeo in materia di e-privacy. Molte disposizioni del previgente codice non sono state espressamente richiamate, perché assorbite dalle norme del regolamento europeo. Fra queste, a mero titolo esemplificativo, quelle che consentono di trattare i dati senza consenso per la finalità dell’esercizio del diritto di difesa. Il trattamento di questi dati, così come il trattamento dei dati provenienti da registri pubblici, o la comunicazione dei dati infragruppo, rientra certamente nei presupposti di legittimità del trattamento previsti dall’articolo 6 del regolamento e in particolare nell’esercizio del “legittimo interesse” cui il regolamento accorda ampio spazio. Il quadro sanzionatorio prevede delle novità in quanto accanto alla depenalizzazione di figure di reato ormai superate (vedi articolo 169) sono state previste nuove fattispecie di reato. diapositiva successiva Base giuridica per l’interesse pubblico L’articolo 2 del decreto legislativo numero 101 del 2018 introduce l'articolo 2-ter del decreto legislativo numero 196/2003, il quale specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. L'articolo si presenta come una riformulazione del previgente articolo 19 del Codice, il cui ambito di applicazione soggettivo viene, però, esteso al fine di adeguarsi all'impostazione adottata dal Regolamento. Nel Regolamento, infatti – come può leggersi nella relazione - scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità del trattamento perseguita, vale a dire se la finalità concerne un interesse pubblico o privato. L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (articolo 6, pararagrafo1, lettera e), del regolamento diapositiva successiva Consenso del minore Viene introdotto anche l’articolo 2-quinquies del codice in materia di protezione dei dati personali il quale stabilisce che in attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, naturalmente il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale diapositiva successiva Individuazione degli interessi pubblici In relazione al trattamento di particolari categorie di dati viene stabilito l'obbligo di previsione normativa ed è individuato un elenco di trattamenti che si considerano effettuati per «motivi di interesse pubblico rilevante» (articolo 2-sexies in relazione all'articolo 9 del Regolamento concernente i dati che il Codice previgente definiva «dati sensibili»). Il regime normativo per tali trattamenti è sostanzialmente rimasto inalterato rispetto a quello previsto dal Codice per i trattamenti effettuati da soggetti pubblici (articolo 20) e, in particolare, l'elenco predetto è tratto dalle diverse disposizioni del Codice riferite ai trattamenti effettuati per finalità di rilevante interesse pubblico (ad es. articoli 64-73, che il decreto abroga). Ovviamente, mutato il criterio per delimitare l'ambito applicativo di tale regime, le disposizioni in parola riguardano i trattamenti effettuati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a prescindere dalla natura soggettiva del titolare del trattamento. diapositiva successiva Misure di garanzia per alcuni dati sensibili Con riferimento ai dati genetici, biometrici e relativi alla salute, inoltre, oggetto di specifica «riserva» della normativa nazionale (cfr. articolo 9, par. 4, Reg.), viene previsto che il relativo trattamento è subordinato anche al rispetto di misure di garanzia disposte dal Garante (articolo 2-septies del codice) con provvedimento adottato con cadenza almeno biennale. In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati. diapositiva successiva Limitazione dei diritti degli interessati Gli articoli 2-undecies e 2-duodecies del decreto legislativo 196/2003 introdotti dal decreto legislativo numero 101 del 2018 concernente i diritti garantiti all'interessato, sulla falsariga di quanto previsto dall'articolo 8 del Codice previgente, contiene ipotesi di limitazione degli stessi in caso di concreto pregiudizio per altri interessi normativamente tutelati. Si pensi a antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d'inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura.