La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
Le ultime novità alla luce del Decreto di adeguamento privacy
1. Le ultime novità
alla luce del
Decreto di
adeguamento
privacy (Decreto
Legislativo 10
agosto 2018, n.
101)”
2. Ciao! mi presento…
Sono diventata avvocato nel 2010 dopo aver conseguito una laurea
Specialistica in Giurisprudenza ottenendo il riconoscimento della Dignità
di Stampa, presso l’Università degli Studi di Genova.
Sono membro del network professionale D&L NET, fondato e
coordinato dal D&L Department e dall' Avv. Andrea Lisi e collaboro con
il Digital & Law Department da luglio 2017 con una specializzazione su
ambiti normativi legati alla privacy.
Ho partecipato, in qualità di relatrice, all’evento nazionale Dig.eat, XI
edizione 10 maggio 2018 – Centro Congressi Piazza di Spagna con
assegnazione del tema: “Il piano di assessment per la compliance
secondo il Regolamento UE 679/2016”.
Da luglio 2018 sono iscritta all’Elenco dei Professionisti della privacy
ANORC Professioni
3. Le ultime novità alla luce del Decreto di
adeguamento privacy (Decreto Legislativo 10
agosto 2018, n. 101)”
➜ Il 4 settembre 2018 è stato pubblicato in Gazzetta
Ufficiale il tanto atteso Decreto Legislativo 10 agosto
2018, n. 101, che reca disposizioni per
l’adeguamento della normativa nazionale alle
disposizioni del Regolamento (UE) 2016/679
relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali.
4. Il Dlgs 10 agosto 2018, n. 101
Dopo il regolamento europeo sulla protezione
dei dati personali n. 2016/679 (GDPR), è stato
necessario emanare un decreto legislativo e per
la precisione il d.lgs. n. 101 del 10 agosto 2018
di adeguamento della normativa nazionale in
materia di protezione dei dati personali.
Il Decreto Legislativo, entrato in vigore in data 19
settembre, si pone come strumento di modifica e
coordinamento del codice privacy al GDPR
abrogando le disposizioni del d.lgs. n. 196/2003
non più compatibili con il GDPR, introducendone
nuove, nonché integrando e modificando le
disposizioni che rimangono in vita.
5. Dal GDPR al Decreto
Legislativo 10 agosto 2018,
n. 101…
… passando per la Legge 25
ottobre 2017, n. 163
6. La Legge 25 ottobre 2017, n. 163 – legge di delegazione
europea
Il Dlgs 10 agosto 2018, n. 101 è
stato emanato, dopo un lungo e
tormentato iter approvativo, nel
rispetto di quanto sancito dall’art.
13 della legge n. 163/2017, legge
di delegazione europea, entrata in
vigore il 21 novembre 2017,
contenente una delega al Governo
per l’adeguamento della
normativa nazionale alle
disposizioni del GDPR.
Il Dlgs 10 agosto 2018,
n. 101 rappresenta
pertanto il decreto di
raccordo tra la
normativa italiana e il
GDPR.
7. PERCHE’ UN DECRETO DI ADEGUAMENTO SE
VI E’ GIA’ IL REGOLAMENTO EUROPEO?
Con l’adozione del Decreto Legislativo 10 agosto 2018, n.
101, il legislatore italiano ha esercitato quella specifica delega
che il testo del Regolamento ha conferito mediante il rinvio
alla legislazione interna degli Stati Membri.
Il decreto, in particolare, ha introdotto adeguamenti della
normativa nazionale, soprattutto in settori dove il trattamento
dei dati personali è più complesso e delicato (come ad esempio
il trattamento dei dati personali cd. particolari ex art 9.4
GDPR), rispetto al quale il Regolamento prevede un margine
di manovra affidato agli Stati Membri.
8. PERCHE’ UN DECRETO DI ADEGUAMENTO SE
VI E’ GIA’ UN REGOLAMENTO EUROPEO?
Altre ipotesi di rinvio espresso al legislatore nazionale sono contenute negli
artt. 85-89 GDPR in tema di attività di giornalismo o di espressione
accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti
amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86);
attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87);
gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel
pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr.
art. 88)
Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola
competenza nazionale propria di ciascun Stato Membro, disponendo in tal
senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre
sanzioni per le violazioni del presente regolamento”.
9. Considerando 8)
Ove il presente regolamento preveda
specificazioni o limitazioni delle sue norme ad
opera del diritto degli Stati membri, gli Stati
membri possono, nella misura necessaria per la
coerenza e per rendere le disposizioni nazionali
comprensibili alle persone cui si applicano,
integrare elementi del presente regolamento nel
proprio diritto nazionale.
10. Considerando 10)
Il presente regolamento prevede anche un margine
di manovra degli Stati membri per precisarne le
norme, anche con riguardo al trattamento di
categorie particolari di dati personali («dati
sensibili»). In tal senso, il presente regolamento
non esclude che il diritto degli Stati membri
stabilisca le condizioni per specifiche situazioni di
trattamento, anche determinando con maggiore
precisione le condizioni alle quali il trattamento di
dati personali è lecito.
11. Considerando 19)
… gli Stati membri dovrebbero poter mantenere o
introdurre disposizioni più specifiche per adattare
l’applicazione delle disposizioni del presente
regolamento.
13. Uno sguardo di insieme sul nuovo quadro normativo
Il Dlgs 101/2018 è composto da 27 articoli, molti dei quali
abrogano le disposizioni del Codice previgente che, all’esito di un
giudizio di compatibilità, sono risultate contrastanti con le
disposizioni (“orizzontali”) del Regolamento.
Le numerose abrogazioni dichiarate dall’articolo 27 del Dlgs
101/2018, nonché tutte le modifiche e sostituzioni introdotte dalle
altre disposizioni del Dlgs 101/2018 richiederanno agli gli
interpreti e agli operatori uno sforzo interpretativo e di
adeguamento non trascurabile.
L’attività di interpretazione della normativa italiana dovrà in ogni
caso rispettare il principio di supremazia della normativa europea
su quella nazionale.
14. I RAPPORTI FRA IL “NUOVO CODICE” E IL GDPR
La dipendenza del “nuovo” Codice emerge con
evidenza dall’art. 2 comma 1 del Decreto 101/2018
che va a emendare l’articolo 1 (oggetto) nella parte I,
titolo I, del decreto legislativo 30 giugno 2003, n. 196
(Codice in materia di protezione dei dati personali).
L’art. 1, nella nuova versione, sancisce che: “Il
trattamento dei dati personali avviene secondo le
norme del regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile
2016, di seguito «Regolamento», e del presente
codice, nel rispetto della dignità umana, dei diritti e
delle libertà fondamentali della persona”.
15. IL PRINCIPIO DI SUPREMAZIA DELLA
NORMATIVA EUROPEA SU QUELLA NAZIONALE
Le disposizioni interne al nostro ordinamento possono
ritenersi legittime nel contesto europeo in quanto e nella
misura in cui:
- rientrino nelle materie rimesse dal GDPR al legislatore
nazionale (competenza per materia);
- il loro contenuto sia conforme alle disposizioni del GDPR;
- esse siano interpretate e applicate nel rispetto del Regolamento
16. ➜ Vengono meno tutti i principi generali che aprivano il
Codice previgente applicabili a tutti i trattamenti
Il Codice, dopo l’entrata in vigore del decreto di
adeguamento, risulta profondamente novellato nelle sue
disposizioni ma anche fortemente modificato nella sua
ispirazione di fondo e nella sua stessa finalità, perdendo la
caratteristica di autonomo e sistematico corpus di norme
regolanti la protezione dei dati personali.
17. ➜ Tra le abrogazioni più rilevanti, si deve menzionare quella
relativa alle norme in tema di misure di sicurezza
contenute nel Capo I del Titolo V, parte I, del vecchio
codice (Misure di sicurezza), incluso l’Allegato B al
Codice - Disciplinare Tecnico).
Ciò risponde all’introduzione del principio
dell’accountability di cui all’articolo 5 del Regolamento,
secondo cui spetta solamente al titolare individuare e applicare
le più idonee e pertinenti misure tecniche e operative ai
trattamenti da questi effettuati.
ABROGAZIONE delle MISURE di SICUREZZA
Vd. art. 32 del Regolamento
18. ACCOUNTABILITY
Il concetto di “accountability” costituisce la vera novità che
permea tutta la nuova normativa europea e rappresenta il
principio di “responsabilizzazione” cui il Titolare deve
conformarsi nel trattare i dati personali di cui dispone.
Sul Titolare (e Responsabile) del Trattamento viene
imposto un generale obbligo di implementare misure di
sicurezza appropriate al fine di comprovare il rispetto del
Regolamento nello svolgimento dei diversi Trattamenti.
Titolare (e Responsabile) devono esser sempre “pronti” a
dimostrare di aver rispettato e di essersi conformati alle
nuove disposizioni introdotte con il GDPR.
19. A fronte dello spazio di manovra che il GDPR (art. 8.1)
lascia agli Stati se scegliere di derogare il limite di età,
fissato a 16 anni dal legislatore dell’Unione nel definire l’età
minima del minore per esprimere il consenso in relazione
ai servizi della società dell’informazione (“SSI”), l’articolo
2-quinquies, stabilisce che il soggetto che ha compiuto 14
anni può prestare il proprio consenso al trattamento dei suoi
dati per usufruire di tali servizi.
Il legislatore delegato ha deciso di abbandonare il principio
del favor minoris, cui inizialmente si era ispirato, per tener
conto della realtà attuale, caratterizzata dall’uso sempre più
ampio dei servizi telematici e, in particolare, dei social
network da parte dei minori.
IL CONSENSO DEL MINORE
20. La facoltà accordata dall’articolo
8.1, GDPR trova un limite:
nessuno Stato è legittimato a
stabilire un’età inferiore ai 13 anni,
al di sotto della quale è necessario
che il consenso al trattamento dei
dati del minore venga prestato da
parte di chi esercita la
responsabilità genitoriale.
In tale ambito, il titolare del
trattamento ha l’obbligo di
predisporre le informative e le altre
comunicazioni relative al
trattamento con linguaggio
particolarmente chiaro e semplice,
facilmente accessibile e
comprensibile dal minore.
21. BASE GIURIDICA PER L'ESECUZIONE DI COMPITI DI INTERESSE
PUBBLICO O CONNESSI ALL'ESERCIZIO DI PUBBLICI POTERI
L’art. 2 del decreto di adeguamento introduce l'articolo 2-ter del Codice, il quale
specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un
compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base
giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi
esclusivamente in una norma di legge o di regolamento.
La disposizione riformula il previgente articolo 19 del Codice, ampliando l’ambito
soggettivo di applicazione in ossequio a quanto previsto dal GDPR.
Nel Regolamento, infatti, scompare la distinzione basata sulla natura pubblica o
privata dei soggetti che trattano i dati, rilevando unicamente la finalità (concernente un
interesse pubblico o privato) del trattamento perseguita.
L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per
l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici
poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).
22. L’art. 2-sexiesdecies (Responsabile della protezione dei dati
per i trattamenti effettuati dalle autorità giudiziarie
nell’esercizio delle loro funzioni) introduce l’obbligo per le
autorità giudiziarie di designare il Data protection officer
(Dpo)
La previsione ricalca quanto già stabilito dal d.lgs. 18
maggio 2018, n. 51, approvato lo scorso maggio, in
attuazione alla direttiva (UE) 2016/680.
DPO OBBLIGATORIO per le AUTORITA’
GIUDIZIARIE
24. Con il decreto di adeguamento, al Garante italiano sono stati
conferiti poteri molto ampi, finalizzati ad assicurare, anche nel
tempo, una attuazione della normativa flessibile e adeguata allo
sviluppo delle tecnologie.
Uno degli aspetti più importanti della nuova normativa riguarda,
infatti, l’evidente centralità assegnata al Garante.
Gli viene infatti affidato il compito di promuovere regole
deontologiche, scrivere misure di garanzia per il trattamento di
dati genetici, biometrici, sanitari, adottare provvedimenti
contenenti misure ed accorgimenti a garanzia dell’interessato.
I MAGGIORI POTERI IN CAPO AL GARANTE
25. L’art. 2 quater disciplina la promozione di “regole
deontologiche” il cui rispetto, in seguito all’approvazione e
pubblicazione, diviene condizione essenziale per la liceità e
la correttezza dei trattamenti effettuati in osservanza di un
obbligo legale, per ragioni di rilevante interesse pubblico e
per i dati genetici, biometrici e relativi alla salute.
Oltre alle regole deontologiche, qualora si tratti di dati
genetici, biometrici e relativi alla salute, il legislatore
italiano ha previsto, secondo quanto concesso dall’art. 9.4
GDPR, l’emanazione di apposite misure di garanzia da
parte del Garante.
I MAGGIORI POTERI IN CAPO AL GARANTE
26. Le misure di garanzia
In tema di trattamento dati sanitari, genetici e ricerca scientifica, il
legislatore delegato ha infatti deciso di imporre al Garante
l’adozione di un provvedimento, sottoposto a consultazione
pubblica prima della sua emanazione e della durata almeno
biennale, con cui individuare quelle ulteriori misure di sicurezza
(oggi contenute nelle attuali Autorizzazioni Generali, oggetto di
successivo riesame e che saranno abrogate solo se
dovessero essere ritenute incompatibili con il GDPR)
condizioni o determinati accorgimenti che i Titolari dovranno
osservare nel trattare tali particolari categorie di dati.
.
27. Le misure di garanzia
➜ Tali misure individuano le misure di sicurezza, ivi
comprese quelle tecniche di cifratura e di
pseudonimizzazione (cfr. art. 32 GDPR), le misure di
minimizzazione (in linea con quanto già disponeva il
Codice previgente), le specifiche modalità per l’accesso
selettivo ai dati e per rendere le informazioni agli
interessati, nonché le eventuali altre misure necessarie a
garantire i diritti degli interessati.
28. Le misure di garanzia
Infine, per trattamenti nell’esecuzione di un compito di
interesse pubblico che può presentare rischi particolarmente
elevati, di cui all’art. 35 GDPR, ossia per quei trattamenti
per i quali sarebbe necessaria una valutazione di impatto, ai
sensi dell’art. 2 quinquedecies, il Garante, può adottare
d’ufficio provvedimenti a carattere generale prescrivendo
misure ed accorgimenti a garanzia dell’interessato.
29. Il decreto di adeguamento, oltre ad ampliare i compiti del
Garante, ha rafforzato anche il potere dell’Autorità.
L’art. 154-ter, rubricato “Potere di agire e rappresentanza in
giudizio”, introdotto dall’art. 14 del decreto di adeguamento,
conferisce al Garante la legittimazione ad agire in giudizio nei
confronti del titolare o del responsabile del trattamento in caso di
violazione delle disposizioni in materia di protezione dei dati
personali.
I MAGGIORI POTERI IN CAPO AL GARANTE
30. TRATTAMENTO dei DATI BIOMETRICI e RELATIVI
ALLA SALUTE
Anche il trattamento di dati personali in ambito sanitario subisce
rilevanti modifiche.
➜ Il decreto n. 101/2018 ridisegna la parte II del titolo V del d.lgs. n.
196/2003 in conformità alle previsioni del GDPR (art. 9)
eliminando la necessità del consenso per il trattamento di categorie
particolari di dati personali in ambito sanitario (Vd. nuovo art. 75
del d.lgs. n. 196/2003)
➜ In ogni caso, il trattamento dei dati genetici, biometrici e relativi
alla salute dovrà avvenire in conformità alle misure di garanzia
disposte dal garante con cadenza biennale (art. 2-septies del
Codice).
➜ Con la riforma si arricchisce anche la “lista” dei dati particolari (i
“vecchi” dati sensibili) includendo i dati genetici, in
conformità a quanto previsto dall’articolo 9, paragrafo 1, del
Regolamento.
31. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE
➜ Art. 2-terdecies (Diritti riguardanti le persone
decedute)
1. comma: “I diritti di cui agli articoli da 15 a 22 del
Regolamento riferiti ai dati personali concernenti persone
decedute possono essere esercitati da chi ha un interesse
proprio, o agisce a tutela dell'interessato, in qualità di suo
mandatario, o per ragioni familiari meritevoli di protezione”.
32. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE
➜ A fronte della generale inapplicabilità alle persone decedute
sancita dal GDPR nel considerando 27) a mente del quale
“Il presente regolamento non si applica ai dati personali delle
persone decedute. Gli Stati membri possono prevedere norme
riguardanti il trattamento dei dati personali delle persone
decedute”
… il Decreto Legislativo 10 agosto 2018, n. 101, introduce il
concetto di diritto all’eredità del dato in caso di decesso, con la
previsione espressa di una norma che consente di disporre post
mortem dei propri dati forniti ai servizi informativi delle società,
mediante l’esercizio dei diritti ex artt. 15-22 GDPR.
33. SEMPLIFICAZIONI PER LE PICCOLE E MEDIE IMPRESE
➜ Il Decreto Legislativo 10 agosto 2018, n. 10,
nell’attribuire al Garante il potere di adottare linee guida di
indirizzo riguardanti le misure organizzative e tecniche di
attuazione dei principi del Regolamento e di approvare le
regole deontologiche di cui all’art. 2 – quater, contiene al 4°
comma dell’art. 154 – bis l’espressa previsione della
promozione, mediante lo strumento delle linee guida, di
modalità semplificate di adempimento degli obblighi del
titolare del trattamento per le micro, piccole e medie
imprese.
La previsione si pone l’intento di introdurre una gradualità di
applicazione della normativa, che tenga conto delle esigenze
specifiche delle dimensioni delle diverse realtà economiche
presenti sul territorio nazionale.
34. TUTELA DI FRONTE AL GARANTE
➜ Rispetto alle forme di tutela dinanzi al Garante, con il
d.lgs. n. 101/2018 viene meno il Ricorso quale forma di
tutela dinanzi al Garante. In alternativa alla tutela
giurisdizionale persiste il Reclamo (art. 141 e ss. del Codice),
novellato dall’art. 13 del decreto di adeguamento, il cui
procedimento di esame sarà disciplinato dal Garante con
proprio regolamento.
➜ Viene modificata anche la disciplina delle segnalazioni
(richiamate nell’art. 54, par. 2, del GDPR)
L’art 144 del Codice novellato stabilisce che, “Chiunque” possa
rivolgere una segnalazione al Garante e non i soli interessati come
previsto dalla lettura combinata dei previgenti artt. 142 e 144.
36. I soggetti designati
➜ La figura dei soggetti designati viene introdotta dall’art.
2 – terdecies, il cui titolo recita “Attribuzione di funzioni e
compiti a soggetti designati” dispone che:
➜ Il titolare o il responsabile del trattamento possono
prevedere, sotto la propria responsabilità e nell’ambito del
proprio assetto organizzativo, che specifici compiti e
funzioni connessi al trattamento di dati personali siano
attribuiti a persone fisiche, espressamente designate, che
operano sotto la loro autorità.
➜ Il titolare o il responsabile del trattamento individuano le
modalità più opportune per autorizzare al trattamento dei
dati personali le persone che operano sotto la propria
autorità.
37. I soggetti designati
Nella relazione illustrativa al decreto, in commento all’art. 2
–terdecies si legge che “la norma (ndr) prevede il potere di
Titolare e Responsabile, di delegare compiti e funzioni a
persone fisiche che operano sotto la loro autorità e che, a
tal fine, dovranno essere espressamente designati. Tale
disposizione permette di mantenere le funzioni e i compiti
assegnati a figure interne all’organizzazione che, ai sensi
del previgente codice in materia di protezione dei dati ma in
contrasto con il regolamento, potevano essere definiti, a
seconda dei casi, Responsabili o Incaricati.”
38. I soggetti designati
Ad una prima lettura, il soggetto “designato”
sembrerebbe pertanto diverso da quello definito
“istruito” al trattamento ai sensi dell’art. 29 GDPR.
I designati, infatti, sono coloro a cui vengono attribuiti
specifici compiti e funzioni internamente all’assetto
organizzativo del titolare o del responsabile e relativamente
al trattamento dei dati personali
39. I soggetti designati
➜ Il secondo comma dell’artt. 2 terdecies invece, fa
riferimento ai soggetti che sono autorizzati al trattamento di
dati personali sotto la diretta autorità del titolare o
responsabile.
La norma sembrerebbe richiedere un quid aggiuntivo rispetto
all’art. 29 GDPR che prevede, solo la necessaria istruzione – e
non un’autorizzazione – di coloro che effettuano il trattamento.
Le due disposizioni sono quindi
incompatibili?
40. I soggetti designati
Svolgendo un’analisi semantica più approfondita, si arriva
alla conclusione che l’atto di istruire qualcuno ad
effettuare un trattamento contiene implicitamente
l’autorizzazione allo svolgimento del trattamento stesso.
Non si ravvisa pertanto un’incongruità della previsione
contenuta nel nuovo art. 2 terdecies rispetto alla
previsione regolamentare ex art 29 GDPR.
In ottica di “accountability” interna, è possibile quindi,
prevedere specifiche deleghe o redigere mansionari per
classi omogenee (per tipologie di autorizzati/designati),
delimitando l’ambito del trattamento al quale si è
autorizzati, consentendo, di dare seguito agli adempimenti
organizzativi interni alla struttura aziendale/professionale
42. Si può parlare di “sospensione” delle sanzioni?
In attesa della pubblicazione del Decreto di
adeguamento, è emersa la nota questione
relativa all’ipotesi di un “periodo di proroga”
di 8 mesi con relativa sospensione delle attività
ispettive del Garante
43. Si può parlare di “sospensione” delle sanzioni?
Il nuovo testo del Codice Privacy, sull’eco delle richieste
pervenute da più parti anche in sede di audizioni
parlamentari, stabilisce, all’art. 22, comma 13, che per
i primi otto mesi dalla data di entrata in vigore del decreto
legislativo, il Garante per la protezione dei dati personali
debba tenere conto, ai fini dell’applicazione delle sanzioni
amministrative e nei limiti in cui risulti compatibile con le
disposizioni del regolamento europeo, della fase di prima
applicazione delle disposizioni transitorie.
44. Si può parlare di “sospensione” delle sanzioni?
La disposizione pertanto non introduce alcuna proroga o sospensione dei
controlli, ma si limita a disporre che il Garante adotti nei primi 8 mesi un
approccio “soft” dal punto di vista sanzionatorio, valutando in sede ispettiva
diversi fattori
come suggerito anche Linee guida riguardanti l’applicazione e la previsione
delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n.
2016/679 - WP253 Adottate il 3 ottobre 2017
anche alla luce del principio di gradualità e
di proporzionalità delle sanzioni sancito dallo stesso GDPR
46. IL QUADRO SANZIONATORIO
Con l’applicazione degli articoli 83 e 84 del Regolamento e con
l’entrata in vigore del Dlgs 101/2018, il quadro sanzionatorio è
radicalmente mutato.
Sanzioni amministrative pecuniarie
In linea con quanto stabilito dall’art. 83 del Regolamento, che
ha reso incompatibile la disciplina delle sanzioni amministrative
con il GDPR, l’art. 27 del Dlgs 101/2018 ha espressamente
abrogato gli artt. da 161 a 164 del Codice previgente e ha
sostituito il precedente articolo 166 con una nuova disposizione,
ricca di rinvii.
47. IL QUADRO SANZIONATORIO
Sanzioni penali
Solo gli Stati membri possono prevedere sanzioni per le
violazioni del Regolamento diverse da quelle pecuniarie (art. 84
GDPR) e poiché l’impianto sanzionatorio del Regolamento è
improntato esclusivamente su sanzioni amministrative, tutte le
condotte qualificate, a livello europeo, come illeciti
amministrativi non possono essere qualificate come sanzioni
penali (l’articolo 169 del Codice in tema di violazione di misure
di sicurezza è stato p.e. abrogato con la conseguente
depenalizzazione delle condotte ante riforma sanzionate
penalmente).
48. IL QUADRO SANZIONATORIO
Con l’introduzione del Dlgs n. 101/201, permangono le fattispecie di
reato relative a:
• “Trattamento illecito dei dati” novellato nella pena (reclusione da sei
mesi a tre anni, art. 167)
• “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione
dei compiti o dell’esercizio dei poteri del Garante” (art. 168)
• “Inosservanza di provvedimenti del Garante” (art. 170)
• “Violazioni delle disposizioni in materia di controlli a distanza e
indagini sulle opinioni dei lavoratori” (art. 171)
49. IL QUADRO SANZIONATORIO
Sono state introdotte nuove fattispecie di reato, quali:
- Comunicazione e diffusione illecita di dati personali oggetto di
trattamento su larga scala” (reclusione da uno a sei anni, art 167-bis)
- Acquisizione fraudolenta di dati personali oggetto di trattamento
su larga scala” (reclusione da uno a quattro anni, art. 167-ter)
50. Le novità in PILLOLE del Decreto Legislativo 10 agosto 2018, n.
101
1. BASE GIURIDICA
TRATTAMENTO DATI
DA PARTE DEGLI
ENTI PUBBLICI
2. ETA’ PER IL
CONSENSO DEL
MINORE
3. DATI BIOMETRICI,
GENETCI E RELATIVI
ALLA SALUTE
4. PERSONE
DECEDUTE
5. PICCOLE E MEDIE
IMPRESE
6. REGIME
TRANSITORIO DELLE
DISPOSIZONI
7. I SOGGETTI
“DESIGNATI”
9. QUADRO
SANZIONATORIO
8. I MAGGIORI POTERI
DEL GARANTE