Nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 è stato pubblicato il decreto legislativo 10 agosto 2018 n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – GDPR).
Il decreto legislativo pubblicato contiene, innanzitutto, delle importanti precisazioni circa le conseguenze dell’omesso rispetto della disciplina in materia di privacy, dedicando delle apposite previsioni alle sanzioni amministrative e a quelle penali. Partendo proprio da queste ultime, il provvedimento ha recuperato alcune fattispecie penali, irrigidendo l’alleggerimento sanzionatorio operato dal regolamento europeo, che aveva optato per un maggior numero di sanzioni amministrative, sebbene dal contenuto severo. Così rientrano, ad esempio, i reati di trattamento illecito di dati personali, di acquisizione fraudolenta e di false dichiarazioni rese al Garante.
Per quanto riguarda invece le sanzioni amministrative, le imprese che violano gli obblighi privacy specificati dal decreto rischiano di essere assoggettate a sanzioni amministrative che vanno da 10milioni a 20milioni di euro o che sono ricomprese tra il 2% e il 4% del fatturato mondiale annuo.
Il decreto prevede, poi, che il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione possa essere validamente espresso in prima persona dal soggetto che ha compiuto quattordici anni. Per i minori di età inferiore a tale soglia è necessario il consenso di chi esercita su di loro la responsabilità genitoriale.
Il testo del nuovo provvedimento prende in particolare considerazione le esigenze di semplificazione delle micro, piccole e medie imprese, affidando al Garante per la protezione dei dati personali il compito di promuovere delle modalità semplificate di adempimento degli obblighi di trattamento, nel rispetto delle disposizioni del Gdpr e del nuovo codice privacy.
Tra le novità di primario rilievo vi è inoltre la specificazione delle regole alle quali deve attenersi il titolare del trattamento in caso di ricezione di CV inviati spontaneamente e finalizzati all’instaurazione di un rapporto di lavoro. In particolare, il decreto stabilisce che le informazioni di cui all’articolo 13 del Gdpr vanno fornite solo al momento del primo contatto utile successivo all’invio del curriculum.
Merita, infine, di essere menzionata la norma che si occupa dei diritti delle persone decedute. In essa, nel dettaglio, si stabilisce che i diritti in materia di privacy dettati dal Gdpr e riferiti ai dati personali di soggetti deceduti possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.
Decreto Legislativo 10 agosto 2018 , n. 101
