Rilasciato, dalla Commissione speciale per gli atti del Governo, parere favorevole allo schema di decreto legislativo di armonizzazione dell’ordinamento italiano al GDPR. Il parere contiene molte richieste di modifica del testo pur confermando il suo impianto generale. In definitiva: nessuna abrogazione integrale del codice della privacy, ma amplissime rivisitazioni, abrogazioni e integrazioni. Il parere si chiude con la richiesta al Garante per la privacy di valutare la possibilità che, in una fase transitoria (non inferiore a 8 mesi) e successiva all’entrata in vigore del decreto legislativo, non siano irrogate sanzioni alle imprese, ma si dispongano solo ammonimenti o prescrizioni di adeguamento alla nuova disciplina. Quali sono le modifiche richieste?
La Commissione speciale per gli atti del Governo ha rilasciato, in data 20 giugno 2018, parere favorevole allo schema di decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento UE sulla privacy n. 2016/679- GDPR.
Il parere segue ad un articolato iter, nel corso del quale le Commissioni parlamentari hanno audito molti esponenti del mondo associativo, imprenditoriale e dell’accademia.
Il parere svolge molte richieste di modifica del testo, che mantiene il suo impianto: nessuna abrogazione integrale del codice della privacy, ma amplissime rivisitazioni, abrogazioni e integrazioni.
Vediamo le principali modifiche richieste, tra cui spicca l’abbassamento a 14 anni dell’età per prestare il consenso al trattamento dei dati nei servizi della società dell’informazione.
Per il consenso del minore in relazione ai servizi della società dell’informazione il Parlamento chiede abbassarsi a 14 anni l’età minima per esprimere l’assenso autonomo.
Il Parlamento chiede anche di valutare l’opportunità di specificare che il titolare del trattamento deve rivolgersi ai minori con linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.
Pubblici interessi
Si propone di inserire tra le finalità di interesse pubblico rilevante che autorizzano il trattamento di particolari categorie di dato: la tenuta di registri pubblici relativi a beni immobili o mobili; l’esercizio del mandato degli organi rappresentativi, compresa la loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche; la documentazione dell’attività istituzionale di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari; lo svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo; la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, nonché vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria.
Dati sanitari
In materia di misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, le Commissioni parlamentari propongono di specificare, in un elenco tassativo e non meramente esemplificativo, le materie rispetto alle quali il Garante può adottare misure di garanzia, prevedendo altresì che tali misure individuano quelle di sicurezza, comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
Diritti interessato
Il parere chiede coordinamento con le norme in materia di whistleblowing (per tutelare l’anonimato).
Sanzioni
Quale norma di garanzia il Parlamento chiede di prevedere la notificazione della contestazione all’interessato di violazioni, assistite da sanzione amministrativa, anziché la mera comunicazione, giacché quest’ultima risulta priva delle caratteristiche di certezza necessarie nell’ambito dei procedimenti sanzionatori e prescrittivi amministrativi.
Per i proventi delle sanzioni, si prospetta di destinarne il 50 per cento del totale annuo alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante.
Lavoratori
Si propone di modificare la norma sanzionatoria prevedendo di eliminare dalla norma incriminatrice la violazione del comma 2 dell’articolo 4 dello Statuto dei lavoratori, considerato che questa disposizione, concernente gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze, risulta di carattere concessorio e non limitativo e pertanto dovrebbe essere espunto.
Norme penali
Per le fattispecie di trattamento illecito di dati, comunicazione e diffusione illecita di dati riferibili a un rilevante numero di persone e acquisizione fraudolenta di dati personali, le Commissioni chiedono di inserire, oltre alla finalità del profitto per sé o per altri, anche quella del danno all’interessato, al fine di evitare di affievolire la tutela contro fatti incresciosi come il «revenge porn» o lo «slut shaming», che dovrebbero al contrario essere oggetto di attenta tutela.
Il Parlamento chiede, poi, di ripristinare l’articolo 170 del codice della privacy sul delitto di inosservanza di provvedimenti del Garante.
Certificazioni
Il parere chiede di valutare l’opportunità di definire puntualmente la distinzione tra i ruoli svolti dall’ente nazionale di accreditamento (Accredia) e l’autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest’ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute.
Composizione del Garante
Si chiede di valutare l’opportunità di introdurre una procedura di evidenza pubblica ai fini dell’acquisizione delle candidature a componente del Garante.
PMI
Si chiede di dare al Garante il potere di adottare linee guida di indirizzo riguardanti misure di organizzazione e tecniche di attuazione del Regolamento, tenendo conto delle esigenze di semplificazione di micro, piccole e medie imprese, anche in relazione al trattamento del personale. Sempre per avere un GDPR a misura di PMI si chiede di introdurre tra i criteri per la graduazione delle sanzioni la dimensione dell’impresa con particolare riguardo alle micro, piccole e medie imprese.
Si chiede anche di valutare l’opportunità di prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega e con le previsioni del Regolamento (UE) 2016/679, un minimo edittale alle sanzioni previste dal nuovo Regolamento, anche ai fini dell’accesso all’oblazione.
Reati nuovi e sanzioni
Per le fattispecie penali di comunicazione e diffusione illecita dei dati personali riferibili a un rilevante numero di persone e di acquisizione fraudolenta di dati personali si chiede di essere più precisi e tassativi .
Il parere si chiude con la richiesta della valutazione della possibilità che il Garante, in una fase transitoria, in ogni caso non inferiore a 8 mesi, successiva all’entrata in vigore del decreto legislativo, non irroghi sanzioni alle imprese, ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act.
(Fonte IPSOA)