Il 19 settembre è formalmente entrato in vigore il d. lgs. 10 agosto 2018, n. 101 contenente disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE/679/16 (meglio noto come GDPR, General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il Legislatore italiano ha quindi atteso diversi mesi prima di intervenire per adeguare il proprio ordinamento alle nuove disposizioni europee: il GDPR è infatti divenuto direttamente applicabile in tutti gli Stati membri dallo scorso 25 maggio, ma pochi Paesi erano già pronti a darvi una tempestiva attuazione. Per questo motivo con il nuovo decreto è stato previsto un periodo transitorio di otto mesi, durante il quale il Garante per la Protezione dei dati personali – in qualità di soggetto titolare dei tanto temuti poteri di vigilanza, controllo ed applicazione delle sanzioni – dovrà tenere conto di detta transizione, evitando quindi di procedere all’instaurazione di procedimenti sanzionatori a carico delle numerosissime aziende e società che non sono ancora adeguate alla nuova normativa. Perchè il vero problema sono le pesantissime sanzioni previste dal GDPR per tutti i soggetti che non si adeguano alle nuove disposizioni in materia di Privacy: il Garante può comminare multe fino a 20 milioni di Euro o, in alternativa, il 4% del fatturato globale annuale.
E’ ovvio che non si sarebbe nemmeno posto il problema di predisporre un periodo transitorio se tutti i soggetti chiamati a dare attuazione alla nuova disciplina europea si fossero adeguati in tempo. Ma quali sono le novità del nuovo decreto di adeguamento? Innanzitutto, un plauso va alla strategia – adottata dal nostro Governo – di conservare il corpus del D.lgs.196/2003 (cosiddetto “Codice della Privacy”), adattandone i contenuti alla nuova normativa europea e abrogando solo le disposizioni risultanti in palese contrasto con il G.D.P.R.; questo approccio ha di fatto permesso di evitare l’abrogazione integrale del vecchio Codice Privacy, mantenendone una versione più ridotta ma, allo stesso tempo, più rispondente alle nuove esigenze degli utenti in materia di protezione dei dati personali.
Le principali novità si registrano ad esempio in materia penale, con l’abolizione del previgente art. 169 (“Misure di sicurezza”) per l’intervenuta eliminazione delle misure minime di sicurezza, o di protezione di minori, con il riconoscimento del diritto di esprimere validamente il proprio consenso al trattamento dei dati personali ai minori che abbiano già compiuto 14 anni di età. Con il nuovo d.lgs. è stata altresì introdotta una importantissima novità – rispetto sia alla normativa previgente che quella prevista dal GDPR – sul trattamento dei dati personali delle persone defunte: a norma dell’art. 2-terdecies il concreto esercizio dei diritti in materia di privacy è stato attribuito a chi abbia un interesse proprio, o agisca a tutela dell’interessato (in qualità di suo mandatario) o per ragioni familiari comunque meritevoli di protezione.
