SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU Milano 2018 Eleonora Mataloni - ANORC
1. Le ultime novità
alla luce del Decreto
di adeguamento
privacy (Decreto
Legislativo 10 agosto
2018, n. 101)”
2. Ciao! mi presento…
Sono diventata avvocato nel 2010 dopo aver conseguito una laurea
Specialistica in Giurisprudenza ottenendo il riconoscimento della Dignità
di Stampa, presso l’Università degli Studi di Genova.
Sono membro del network professionale D&L NET, fondato e
coordinato dal D&L Department e dall' Avv. Andrea Lisi e collaboro con
il Digital & Law Department da luglio 2017 con una specializzazione su
ambiti normativi legati alla privacy.
Ho partecipato, in qualità di relatrice, all’evento nazionale Dig.eat, XI
edizione 10 maggio 2018 – Centro Congressi Piazza di Spagna con
assegnazione del tema: “Il piano di assessment per la compliance
secondo il Regolamento UE 679/2016”.
Da luglio 2018 sono iscritta all’Elenco dei Professionisti della privacy
ANORC Professioni
3. Le ultime novità alla luce del Decreto di adeguamento
privacy (Decreto Legislativo 10 agosto 2018, n. 101)”
➜ Il 4 settembre 2018 è stato pubblicato in Gazzetta
Ufficiale il tanto atteso Decreto Legislativo 10 agosto
2018, n. 101, che reca disposizioni per l’adeguamento
della normativa nazionale alle disposizioni del
Regolamento (UE) 2016/679 relativo alla protezione
delle persone fisiche con riguardo al trattamento dei
dati personali.
4. Il Dlgs 10 agosto 2018, n. 101
Dopo il regolamento europeo sulla protezione dei
dati personali n. 2016/679 (GDPR), è stato
necessario emanare un decreto legislativo e per la
precisione il d.lgs. n. 101 del 10 agosto 2018 di
adeguamento della normativa nazionale in materia di
protezione dei dati personali.
Il Decreto Legislativo, entrato in vigore in data 19
settembre, si pone come strumento di modifica e
coordinamento del codice privacy al GDPR abrogando
le disposizioni del d.lgs. n. 196/2003 non più
compatibili con il GDPR, introducendone nuove,
nonché integrando e modificando le disposizioni che
rimangono in vita.
5. Dal GDPR al Decreto Legislativo
10 agosto 2018, n. 101…
… passando per la Legge 25
ottobre 2017, n. 163
6. La Legge 25 ottobre 2017, n. 163 – legge di delegazione europea
Il Dlgs 10 agosto 2018, n. 101 è
stato emanato, dopo un lungo e
tormentato iter approvativo, nel
rispetto di quanto sancito dall’art.
13 della legge n. 163/2017, legge
di delegazione europea, entrata in
vigore il 21 novembre 2017,
contenente una delega al Governo
per l’adeguamento della
normativa nazionale alle
disposizioni del GDPR.
Il Dlgs 10 agosto 2018,
n. 101 rappresenta
pertanto il decreto di
raccordo tra la
normativa italiana e il
GDPR.
7. PERCHE’ UN DECRETO DI ADEGUAMENTO SE
VI E’ GIA’ IL REGOLAMENTO EUROPEO?
Con l’adozione del Decreto Legislativo 10 agosto 2018, n.
101, il legislatore italiano ha esercitato quella specifica delega
che il testo del Regolamento ha conferito mediante il rinvio
alla legislazione interna degli Stati Membri.
Il decreto, in particolare, ha introdotto adeguamenti della
normativa nazionale, soprattutto in settori dove il trattamento
dei dati personali è più complesso e delicato (come ad esempio
il trattamento dei dati personali cd. particolari ex art 9.4
GDPR), rispetto al quale il Regolamento prevede un margine
di manovra affidato agli Stati Membri.
8. PERCHE’ UN DECRETO DI ADEGUAMENTO SE
VI E’ GIA’ UN REGOLAMENTO EUROPEO?
Altre ipotesi di rinvio espresso al legislatore nazionale sono contenute negli
artt. 85-89 GDPR in tema di attività di giornalismo o di espressione
accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti
amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86);
attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87);
gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel
pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr.
art. 88)
Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola
competenza nazionale propria di ciascun Stato Membro, disponendo in tal
senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre
sanzioni per le violazioni del presente regolamento”.
9. Considerando 8)
Ove il presente regolamento preveda specificazioni o
limitazioni delle sue norme ad opera del diritto degli
Stati membri, gli Stati membri possono, nella misura
necessaria per la coerenza e per rendere le disposizioni
nazionali comprensibili alle persone cui si applicano,
integrare elementi del presente regolamento nel
proprio diritto nazionale.
10. Considerando 10)
Il presente regolamento prevede anche un margine di
manovra degli Stati membri per precisarne le norme,
anche con riguardo al trattamento di categorie
particolari di dati personali («dati sensibili»). In tal
senso, il presente regolamento non esclude che il diritto
degli Stati membri stabilisca le condizioni per specifiche
situazioni di trattamento, anche determinando con
maggiore precisione le condizioni alle quali il
trattamento di dati personali è lecito.
11. Considerando 19)
… gli Stati membri dovrebbero poter mantenere o
introdurre disposizioni più specifiche per adattare
l’applicazione delle disposizioni del presente
regolamento.
13. Uno sguardo di insieme sul nuovo quadro normativo
Il Dlgs 101/2018 è composto da 27 articoli, molti dei quali
abrogano le disposizioni del Codice previgente che, all’esito di un
giudizio di compatibilità, sono risultate contrastanti con le
disposizioni (“orizzontali”) del Regolamento.
Le numerose abrogazioni dichiarate dall’articolo 27 del Dlgs
101/2018, nonché tutte le modifiche e sostituzioni introdotte dalle
altre disposizioni del Dlgs 101/2018 richiederanno agli gli
interpreti e agli operatori uno sforzo interpretativo e di
adeguamento non trascurabile.
L’attività di interpretazione della normativa italiana dovrà in ogni
caso rispettare il principio di supremazia della normativa europea
su quella nazionale.
14. I RAPPORTI FRA IL “NUOVO CODICE” E IL GDPR
La dipendenza del “nuovo” Codice emerge con evidenza
dall’art. 2 comma 1 del Decreto 101/2018 che va a
emendare l’articolo 1 (oggetto) nella parte I, titolo I, del
decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali).
L’art. 1, nella nuova versione, sancisce che: “Il trattamento
dei dati personali avviene secondo le norme del
regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, di seguito «Regolamento», e
del presente codice, nel rispetto della dignità umana, dei
diritti e delle libertà fondamentali della persona”.
15. IL PRINCIPIO DI SUPREMAZIA DELLA
NORMATIVA EUROPEA SU QUELLA NAZIONALE
Le disposizioni interne al nostro ordinamento possono
ritenersi legittime nel contesto europeo in quanto e nella
misura in cui:
- rientrino nelle materie rimesse dal GDPR al legislatore
nazionale (competenza per materia);
- il loro contenuto sia conforme alle disposizioni del GDPR;
- esse siano interpretate e applicate nel rispetto del Regolamento
16. ➜ Vengono meno tutti i principi generali che aprivano il
Codice previgente applicabili a tutti i trattamenti
Il Codice, dopo l’entrata in vigore del decreto di
adeguamento, risulta profondamente novellato nelle sue
disposizioni ma anche fortemente modificato nella sua
ispirazione di fondo e nella sua stessa finalità, perdendo la
caratteristica di autonomo e sistematico corpus di norme
regolanti la protezione dei dati personali.
17. ➜ Tra le abrogazioni più rilevanti, si deve menzionare quella
relativa alle norme in tema di misure di sicurezza
contenute nel Capo I del Titolo V, parte I, del vecchio
codice (Misure di sicurezza), incluso l’Allegato B al
Codice - Disciplinare Tecnico).
Ciò risponde all’introduzione del principio
dell’accountability di cui all’articolo 5 del Regolamento,
secondo cui spetta solamente al titolare individuare e applicare
le più idonee e pertinenti misure tecniche e operative ai
trattamenti da questi effettuati.
ABROGAZIONE delle MISURE di SICUREZZA
Vd. art. 32 del Regolamento
18. ACCOUNTABILITY
Il concetto di “accountability” costituisce la vera novità che
permea tutta la nuova normativa europea e rappresenta il
principio di “responsabilizzazione” cui il Titolare deve
conformarsi nel trattare i dati personali di cui dispone.
Sul Titolare (e Responsabile) del Trattamento viene
imposto un generale obbligo di implementare misure di
sicurezza appropriate al fine di comprovare il rispetto del
Regolamento nello svolgimento dei diversi Trattamenti.
Titolare (e Responsabile) devono esser sempre “pronti” a
dimostrare di aver rispettato e di essersi conformati alle
nuove disposizioni introdotte con il GDPR.
19. A fronte dello spazio di manovra che il GDPR (art. 8.1) lascia
agli Stati se scegliere di derogare il limite di età, fissato a 16
anni dal legislatore dell’Unione nel definire l’età minima del
minore per esprimere il consenso in relazione ai servizi della
società dell’informazione (“SSI”), l’articolo 2-quinquies,
stabilisce che il soggetto che ha compiuto 14 anni può
prestare il proprio consenso al trattamento dei suoi dati per
usufruire di tali servizi.
Il legislatore delegato ha deciso di abbandonare il principio
del favor minoris, cui inizialmente si era ispirato, per tener
conto della realtà attuale, caratterizzata dall’uso sempre più
ampio dei servizi telematici e, in particolare, dei social
network da parte dei minori.
IL CONSENSO DEL MINORE
20. La facoltà accordata dall’articolo
8.1, GDPR trova un limite:
nessuno Stato è legittimato a
stabilire un’età inferiore ai 13 anni,
al di sotto della quale è necessario
che il consenso al trattamento dei
dati del minore venga prestato da
parte di chi esercita la
responsabilità genitoriale.
In tale ambito, il titolare del
trattamento ha l’obbligo di
predisporre le informative e le altre
comunicazioni relative al
trattamento con linguaggio
particolarmente chiaro e semplice,
facilmente accessibile e
comprensibile dal minore.
21. BASE GIURIDICA PER L'ESECUZIONE DI COMPITI DI INTERESSE PUBBLICO O
CONNESSI ALL'ESERCIZIO DI PUBBLICI POTERI
L’art. 2 del decreto di adeguamento introduce l'articolo 2-ter del Codice, il quale
specifica che per quanto riguarda i trattamenti effettuati per "l'esecuzione di un
compito di interesse pubblico o connesso all'esercizio di pubblici poteri" la base
giuridica per i trattamenti aventi ad oggetto dati personali "comuni" sia da rinvenirsi
esclusivamente in una norma di legge o di regolamento.
La disposizione riformula il previgente articolo 19 del Codice, ampliando l’ambito
soggettivo di applicazione in ossequio a quanto previsto dal GDPR.
Nel Regolamento, infatti, scompare la distinzione basata sulla natura pubblica o
privata dei soggetti che trattano i dati, rilevando unicamente la finalità (concernente un
interesse pubblico o privato) del trattamento perseguita.
L'articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per
l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici
poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).
22. L’art. 2-sexiesdecies (Responsabile della protezione dei dati
per i trattamenti effettuati dalle autorità giudiziarie
nell’esercizio delle loro funzioni) introduce l’obbligo per le
autorità giudiziarie di designare il Data protection officer
(Dpo)
La previsione ricalca quanto già stabilito dal d.lgs. 18
maggio 2018, n. 51, approvato lo scorso maggio, in
attuazione alla direttiva (UE) 2016/680.
DPO OBBLIGATORIO per le AUTORITA’
GIUDIZIARIE
24. Con il decreto di adeguamento, al Garante italiano sono stati
conferiti poteri molto ampi, finalizzati ad assicurare, anche nel
tempo, una attuazione della normativa flessibile e adeguata allo
sviluppo delle tecnologie.
Uno degli aspetti più importanti della nuova normativa riguarda,
infatti, l’evidente centralità assegnata al Garante.
Gli viene infatti affidato il compito di promuovere regole
deontologiche, scrivere misure di garanzia per il trattamento di
dati genetici, biometrici, sanitari, adottare provvedimenti
contenenti misure ed accorgimenti a garanzia dell’interessato.
I MAGGIORI POTERI IN CAPO AL GARANTE
25. L’art. 2 quater disciplina la promozione di “regole
deontologiche” il cui rispetto, in seguito all’approvazione e
pubblicazione, diviene condizione essenziale per la liceità e
la correttezza dei trattamenti effettuati in osservanza di un
obbligo legale, per ragioni di rilevante interesse pubblico e
per i dati genetici, biometrici e relativi alla salute.
Oltre alle regole deontologiche, qualora si tratti di dati
genetici, biometrici e relativi alla salute, il legislatore
italiano ha previsto, secondo quanto concesso dall’art. 9.4
GDPR, l’emanazione di apposite misure di garanzia da
parte del Garante.
I MAGGIORI POTERI IN CAPO AL GARANTE
26. Le misure di garanzia
In tema di trattamento dati sanitari, genetici e ricerca scientifica, il
legislatore delegato ha infatti deciso di imporre al Garante
l’adozione di un provvedimento, sottoposto a consultazione
pubblica prima della sua emanazione e della durata almeno
biennale, con cui individuare quelle ulteriori misure di sicurezza
(oggi contenute nelle attuali Autorizzazioni Generali, oggetto di
successivo riesame e che saranno abrogate solo se dovessero
essere ritenute incompatibili con il GDPR) condizioni o
determinati accorgimenti che i Titolari dovranno osservare nel
trattare tali particolari categorie di dati.
.
27. Le misure di garanzia
➜ Tali misure individuano le misure di sicurezza, ivi
comprese quelle tecniche di cifratura e di
pseudonimizzazione (cfr. art. 32 GDPR), le misure di
minimizzazione (in linea con quanto già disponeva il
Codice previgente), le specifiche modalità per l’accesso
selettivo ai dati e per rendere le informazioni agli
interessati, nonché le eventuali altre misure necessarie a
garantire i diritti degli interessati.
28. Le misure di garanzia
Infine, per trattamenti nell’esecuzione di un compito di interesse
pubblico che può presentare rischi particolarmente elevati, di cui
all’art. 35 GDPR, ossia per quei trattamenti per i quali sarebbe
necessaria una valutazione di impatto, ai sensi dell’art. 2
quinquedecies, il Garante, può adottare d’ufficio provvedimenti
a carattere generale prescrivendo misure ed accorgimenti a
garanzia dell’interessato.
29. Il decreto di adeguamento, oltre ad ampliare i compiti del
Garante, ha rafforzato anche il potere dell’Autorità.
L’art. 154-ter, rubricato “Potere di agire e rappresentanza in
giudizio”, introdotto dall’art. 14 del decreto di adeguamento,
conferisce al Garante la legittimazione ad agire in giudizio nei
confronti del titolare o del responsabile del trattamento in caso di
violazione delle disposizioni in materia di protezione dei dati
personali.
I MAGGIORI POTERI IN CAPO AL GARANTE
30. TRATTAMENTO dei DATI BIOMETRICI e RELATIVI
ALLA SALUTE
Anche il trattamento di dati personali in ambito sanitario subisce
rilevanti modifiche.
➜ Il decreto n. 101/2018 ridisegna la parte II del titolo V del d.lgs. n.
196/2003 in conformità alle previsioni del GDPR (art. 9)
eliminando la necessità del consenso per il trattamento di categorie
particolari di dati personali in ambito sanitario (Vd. nuovo art. 75
del d.lgs. n. 196/2003)
➜ In ogni caso, il trattamento dei dati genetici, biometrici e relativi
alla salute dovrà avvenire in conformità alle misure di garanzia
disposte dal garante con cadenza biennale (art. 2-septies del
Codice).
➜ Con la riforma si arricchisce anche la “lista” dei dati particolari (i
“vecchi” dati sensibili) includendo i dati genetici, in conformità a
quanto previsto dall’articolo 9, paragrafo 1, del Regolamento.
31. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE
➜ Art. 2-terdecies (Diritti riguardanti le persone decedute)
1. comma: “I diritti di cui agli articoli da 15 a 22 del
Regolamento riferiti ai dati personali concernenti persone
decedute possono essere esercitati da chi ha un interesse
proprio, o agisce a tutela dell'interessato, in qualità di suo
mandatario, o per ragioni familiari meritevoli di protezione”.
32. DIRITTI RIGUARDANTI LE PERSONE DECEDUTE
➜ A fronte della generale inapplicabilità alle persone decedute
sancita dal GDPR nel considerando 27) a mente del quale
“Il presente regolamento non si applica ai dati personali delle
persone decedute. Gli Stati membri possono prevedere norme
riguardanti il trattamento dei dati personali delle persone
decedute”
… il Decreto Legislativo 10 agosto 2018, n. 101, introduce il
concetto di diritto all’eredità del dato in caso di decesso, con la
previsione espressa di una norma che consente di disporre post
mortem dei propri dati forniti ai servizi informativi delle società,
mediante l’esercizio dei diritti ex artt. 15-22 GDPR.
33. SEMPLIFICAZIONI PER LE PICCOLE E MEDIE IMPRESE
➜ Il Decreto Legislativo 10 agosto 2018, n. 10, nell’attribuire al
Garante il potere di adottare linee guida di indirizzo
riguardanti le misure organizzative e tecniche di attuazione
dei principi del Regolamento e di approvare le regole
deontologiche di cui all’art. 2 – quater, contiene al 4° comma
dell’art. 154 – bis l’espressa previsione della promozione,
mediante lo strumento delle linee guida, di modalità
semplificate di adempimento degli obblighi del titolare del
trattamento per le micro, piccole e medie imprese.
La previsione si pone l’intento di introdurre una gradualità di
applicazione della normativa, che tenga conto delle esigenze
specifiche delle dimensioni delle diverse realtà economiche
presenti sul territorio nazionale.
34. TUTELA DI FRONTE AL GARANTE
➜ Rispetto alle forme di tutela dinanzi al Garante, con il d.lgs.
n. 101/2018 viene meno il Ricorso quale forma di tutela
dinanzi al Garante. In alternativa alla tutela giurisdizionale
persiste il Reclamo (art. 141 e ss. del Codice), novellato
dall’art. 13 del decreto di adeguamento, il cui procedimento di
esame sarà disciplinato dal Garante con proprio regolamento.
➜ Viene modificata anche la disciplina delle segnalazioni
(richiamate nell’art. 54, par. 2, del GDPR)
L’art 144 del Codice novellato stabilisce che, “Chiunque” possa
rivolgere una segnalazione al Garante e non i soli interessati come
previsto dalla lettura combinata dei previgenti artt. 142 e 144.
36. I soggetti designati
➜ La figura dei soggetti designati viene introdotta dall’art. 2 –
terdecies, il cui titolo recita “Attribuzione di funzioni e
compiti a soggetti designati” dispone che:
➜ Il titolare o il responsabile del trattamento possono
prevedere, sotto la propria responsabilità e nell’ambito del
proprio assetto organizzativo, che specifici compiti e
funzioni connessi al trattamento di dati personali siano
attribuiti a persone fisiche, espressamente designate, che
operano sotto la loro autorità.
➜ Il titolare o il responsabile del trattamento individuano le
modalità più opportune per autorizzare al trattamento dei
dati personali le persone che operano sotto la propria
autorità.
37. I soggetti designati
Nella relazione illustrativa al decreto, in commento all’art. 2 –
terdecies si legge che “la norma (ndr) prevede il potere di
Titolare e Responsabile, di delegare compiti e funzioni a persone
fisiche che operano sotto la loro autorità e che, a tal fine,
dovranno essere espressamente designati. Tale disposizione
permette di mantenere le funzioni e i compiti assegnati a figure
interne all’organizzazione che, ai sensi del previgente codice in
materia di protezione dei dati ma in contrasto con il
regolamento, potevano essere definiti, a seconda dei casi,
Responsabili o Incaricati.”
38. I soggetti designati
Ad una prima lettura, il soggetto “designato” sembrerebbe
pertanto diverso da quello definito “istruito” al trattamento ai
sensi dell’art. 29 GDPR.
I designati, infatti, sono coloro a cui vengono attribuiti specifici
compiti e funzioni internamente all’assetto organizzativo del
titolare o del responsabile e relativamente al trattamento dei
dati personali
39. I soggetti designati
➜ Il secondo comma dell’artt. 2 terdecies invece, fa
riferimento ai soggetti che sono autorizzati al trattamento di
dati personali sotto la diretta autorità del titolare o
responsabile.
La norma sembrerebbe richiedere un quid aggiuntivo rispetto
all’art. 29 GDPR che prevede, solo la necessaria istruzione – e
non un’autorizzazione – di coloro che effettuano il trattamento.
Le due disposizioni sono quindi
incompatibili?
40. I soggetti designati
Svolgendo un’analisi semantica più approfondita, si arriva alla
conclusione che l’atto di istruire qualcuno ad effettuare un
trattamento contiene implicitamente l’autorizzazione allo
svolgimento del trattamento stesso.
Non si ravvisa pertanto un’incongruità della previsione
contenuta nel nuovo art. 2 terdecies rispetto alla previsione
regolamentare ex art 29 GDPR.
In ottica di “accountability” interna, è possibile quindi,
prevedere specifiche deleghe o redigere mansionari per classi
omogenee (per tipologie di autorizzati/designati), delimitando
l’ambito del trattamento al quale si è autorizzati, consentendo,
di dare seguito agli adempimenti organizzativi interni alla
struttura aziendale/professionale del Titolare del trattamento.
42. Si può parlare di “sospensione” delle sanzioni?
In attesa della pubblicazione del Decreto di
adeguamento, è emersa la nota questione
relativa all’ipotesi di un “periodo di proroga”
di 8 mesi con relativa sospensione delle attività
ispettive del Garante
43. Si può parlare di “sospensione” delle sanzioni?
Il nuovo testo del Codice Privacy, sull’eco delle richieste
pervenute da più parti anche in sede di audizioni
parlamentari, stabilisce, all’art. 22, comma 13, che per
i primi otto mesi dalla data di entrata in vigore del decreto
legislativo, il Garante per la protezione dei dati personali
debba tenere conto, ai fini dell’applicazione delle sanzioni
amministrative e nei limiti in cui risulti compatibile con le
disposizioni del regolamento europeo, della fase di prima
applicazione delle disposizioni transitorie.
44. Si può parlare di “sospensione” delle sanzioni?
La disposizione pertanto non introduce alcuna proroga o sospensione dei
controlli, ma si limita a disporre che il Garante adotti nei primi 8 mesi un
approccio “soft” dal punto di vista sanzionatorio, valutando in sede ispettiva
diversi fattori
come suggerito anche Linee guida riguardanti l’applicazione e la previsione
delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n.
2016/679 - WP253 Adottate il 3 ottobre 2017
anche alla luce del principio di gradualità e
di proporzionalità delle sanzioni sancito dallo stesso GDPR
46. IL QUADRO SANZIONATORIO
Con l’applicazione degli articoli 83 e 84 del Regolamento e con
l’entrata in vigore del Dlgs 101/2018, il quadro sanzionatorio è
radicalmente mutato.
Sanzioni amministrative pecuniarie
In linea con quanto stabilito dall’art. 83 del Regolamento, che
ha reso incompatibile la disciplina delle sanzioni amministrative
con il GDPR, l’art. 27 del Dlgs 101/2018 ha espressamente
abrogato gli artt. da 161 a 164 del Codice previgente e ha
sostituito il precedente articolo 166 con una nuova disposizione,
ricca di rinvii.
47. IL QUADRO SANZIONATORIO
Sanzioni penali
Solo gli Stati membri possono prevedere sanzioni per le
violazioni del Regolamento diverse da quelle pecuniarie (art. 84
GDPR) e poiché l’impianto sanzionatorio del Regolamento è
improntato esclusivamente su sanzioni amministrative, tutte le
condotte qualificate, a livello europeo, come illeciti
amministrativi non possono essere qualificate come sanzioni
penali (l’articolo 169 del Codice in tema di violazione di misure
di sicurezza è stato p.e. abrogato con la conseguente
depenalizzazione delle condotte ante riforma sanzionate
penalmente).
48. IL QUADRO SANZIONATORIO
Con l’introduzione del Dlgs n. 101/201, permangono le fattispecie di
reato relative a:
• “Trattamento illecito dei dati” novellato nella pena (reclusione da sei
mesi a tre anni, art. 167)
• “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione
dei compiti o dell’esercizio dei poteri del Garante” (art. 168)
• “Inosservanza di provvedimenti del Garante” (art. 170)
• “Violazioni delle disposizioni in materia di controlli a distanza e
indagini sulle opinioni dei lavoratori” (art. 171)
49. IL QUADRO SANZIONATORIO
Sono state introdotte nuove fattispecie di reato, quali:
- Comunicazione e diffusione illecita di dati personali oggetto di
trattamento su larga scala” (reclusione da uno a sei anni, art 167-bis)
- Acquisizione fraudolenta di dati personali oggetto di trattamento
su larga scala” (reclusione da uno a quattro anni, art. 167-ter)
50. Le novità in PILLOLE del Decreto Legislativo 10 agosto 2018, n. 101
1. BASE GIURIDICA
TRATTAMENTO DATI DA
PARTE DEGLI ENTI
PUBBLICI
2. ETA’ PER IL CONSENSO
DEL MINORE
3. DATI BIOMETRICI,
GENETCI E RELATIVI ALLA
SALUTE
4. PERSONE DECEDUTE 5. PICCOLE E MEDIE
IMPRESE
6. REGIME TRANSITORIO
DELLE DISPOSIZONI
7. I SOGGETTI
“DESIGNATI”
9. QUADRO
SANZIONATORIO
8. I MAGGIORI POTERI
DEL GARANTE