|
Confederazione Generale Italiana dei Trasporti e
della Logistica 00198 Roma - via Panama 62 - tel. 068559151-3337909556 - fax 06/8415576 e-mail: |
|
Roma, 24 novembre
2017
Circolare n. 205/2017
Oggetto:
Ordine pubblico – Privacy – Nuova disciplina – Legge di delegazione europea
2016/2017 – Legge 25.10.2017, n. 163, su G.U n. 259 del 6.11.2017.
La legge di
delegazione europea indicata in oggetto ha stabilito che il Governo è delegato ad
adottare i decreti necessari all’adeguamento della normativa nazionale al nuovo
regolamento europeo riguardante il trattamento dei dati personali (Regolamento
UE n. 679 del 2016).
L’attuale normativa nazionale,
come è noto, è costituita dal codice
della privacy (decreto legislativo n. 196 del 2003) che aveva sostituito la
precedente legge del 1996 con la quale era stata recepita la prima direttiva in
materia (direttiva UE n. 46 del 1995) ora abrogata dal citato regolamento. Il
Governo avrà tempo fino a maggio 2018 per adottare le nuove disposizioni.
Si
segnalano di seguito gli aspetti principali previsti dal regolamento
comunitario.
Ambito di applicazione – In base al nuovo
regolamento la tutela della privacy riguarda esclusivamente le persone fisiche
mentre, come era già previsto dal nostro ordinamento, non riguarda i dati delle
persone giuridiche. Gli interessati, cioè le persone fisiche a cui si
riferiscono i dati, dovranno manifestare in maniera libera, informata e
inequivocabile, come oggi, il proprio consenso al trattamento dei dati. Sono
stati introdotti nuovi diritti tra cui il diritto
all’oblio e il diritto alla
portabilità dei dati: previa richiesta sarà possibile ottenere
rispettivamente la cancellazione definitiva dei dati trattati nonché il loro trasferimento
a un diverso titolare del trattamento. Le nuove norme sono applicabili al
trattamento dei dati effettuato da soggetti stabiliti all’interno dell’Unione
indipendentemente dal luogo in cui avviene il trattamento stesso.
Soggetti responsabili – Vengono maggiormente
definite le funzioni delle principali figure deputate alla tutela del
trattamento dei dati personali.
Il titolare del trattamento dovrà essere in
grado di dimostrare la conformità del trattamento stesso alla nuova normativa.
L’adesione a codici di condotta o a meccanismi di certificazione potrà essere
utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare
del trattamento.
Il responsabile del trattamento, che
interviene solo per conto del titolare, dovrà mettere in atto le misure tecniche
e organizzative adeguate per rispettare le prescrizioni del regolamento e
garantire la tutela dei diritti dell’interessato.
Viene ribadito
il principio della limitazione del trattamento ai soli dati necessari al
trattamento stesso.
Responsabile della protezione dei dati (RPD) – Il regolamento introduce l’ulteriore figura del responsabile della protezione dei dati (in inglese Data Protection Officer
– DPO), obbligatoria per le imprese qualora i
trattamenti effettuati richiedano un monitoraggio su larga scala o coinvolgano
particolari categorie di dati sensibili (tra cui i dati sanitari,
l’appartenenza sindacale, l’origine razziale o le opinioni politiche) o
giudiziari. Il DPO potrà essere un dipendente o un
professionista esterno, esperto di normativa e prassi in materia di privacy,
con il compito di informare e consigliare il titolare del trattamento in merito
agli obblighi derivanti dal trattamento stesso, di vigilare sul loro effettivo
adempimento, di fornire le valutazioni d’impatto sulla protezione dei dati
raccolti.
Registro dell’attività di trattamento – Le aziende che
effettuino trattamenti che includono dati sensibili o giudiziari, nonché le
aziende con almeno 250 dipendenti, dovranno tenere un registro con le
informazioni di tutte le attività relative al trattamento dei dati effettuato;
tale registro dovrà essere a disposizione dell’autorità di controllo qualora ne
faccia richiesta.
Violazione e perdita dei dati – Il titolare avrà
l’obbligo di comunicare l’eventuale violazione o perdita dei dati personali
dell’interessato notificando quanto avvenuto all’autorità di controllo entro 72
ore dal momento in cui ne è venuto a conoscenza.
Autorità di controllo – Il regolamento
conferma la competenza sulla materia in capo a un’autorità indipendente (in
Italia Garante della privacy) con
poteri sanzionatori.
Diritto al risarcimento e responsabilità – Il regolamento
prevede che chiunque subisca un danno materiale o immateriale causato da una
violazione del regolamento stesso abbia il diritto di ottenere il risarcimento
del danno dal titolare del trattamento o dal responsabile del trattamento.
Questi sono esonerati dalla responsabilità qualora dimostrino che l’evento
dannoso non è loro in alcun modo imputabile.
Regime sanzionatorio – Il regolamento prevede
sanzioni amministrative pecuniarie fino al 4% del fatturato annuo complessivo a
seconda della natura e della gravità della violazione, del carattere doloso o
colposo, delle categorie di dati personali interessate.
Si fa
riserva di tornare sull’argomento non appena saranno emanati i successivi
decreti delegati.
Daniela
Dringoli |
Per
riferimenti confronta circ.ri conf.li nn. 202/2017 e 39/2004
|
Codirettore |
Allegato
uno |
|
Gr/gr |
© |
G.U. n. 259 del 6.11.2017
LEGGE 25
ottobre 2017, n. 163
Delega al Governo per
il recepimento delle
direttive europee e
l'attuazione di altri atti dell'Unione
europea - Legge di delegazione
europea 2016-2017.
La Camera
dei deputati ed
il Senato della
Repubblica hanno
approvato;
IL
PRESIDENTE DELLA REPUBBLICA
Promulga
la seguente legge:
******OMISSIS*****
Art. 13
Delega al Governo per
l'adeguamento della
normativa nazionale alle
disposizioni del
regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del
27 aprile 2016, relativo alla protezione delle
persone fisiche con
riguardo al trattamento dei
dati personali,
nonche'
alla libera circolazione di tali dati
e che abroga
la
direttiva 95/46/CE
1. Il Governo e' delegato ad adottare, entro sei mesi dalla data di
entrata in vigore
della presente legge, con
le procedure di cui
all'articolo 31 della legge
24 dicembre 2012, n. 234, acquisiti i
pareri delle
competenti Commissioni parlamentari e del Garante per la
protezione dei dati
personali, uno o piu' decreti legislativi al fine
di adeguare
il quadro normativo
nazionale alle disposizioni
del
regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone fisiche
con
riguardo al
trattamento dei dati
personali, nonche' alla
libera
circolazione di tali dati e
che abroga la direttiva 95/46/CE.
2. I decreti legislativi di cui
al comma 1
sono adottati su
proposta del Presidente
del Consiglio dei ministri e
del Ministro
della giustizia, di
concerto con i Ministri degli affari
esteri e
della cooperazione
internazionale, dell'economia e
delle finanze,
dello sviluppo
economico e per la
semplificazione e la
pubblica
amministrazione.
3. Nell'esercizio della
delega di cui al comma 1
il Governo e'
tenuto a seguire,
oltre ai principi e criteri direttivi
generali di
cui all'articolo
32 della legge 24 dicembre 2012, n. 234, anche
i
seguenti principi e
criteri direttivi specifici:
a) abrogare
espressamente le disposizioni del codice in
materia
di trattamento
dei dati personali, di cui al decreto
legislativo 30
giugno 2003, n. 196,
incompatibili con le disposizioni contenute
nel
regolamento (UE) 2016/679;
b) modificare il
codice di cui al decreto legislativo 30
giugno
2003, n. 196, limitatamente a quanto necessario per dare attuazione
alle
disposizioni non
direttamente applicabili contenute
nel
regolamento (UE) 2016/679;
c) coordinare le
disposizioni vigenti in
materia di protezione
dei dati personali
con le disposizioni recate dal regolamento
(UE)
2016/679;
d) prevedere, ove
opportuno, il ricorso a specifici provvedimenti
attuativi e integrativi
adottati dal Garante per la protezione
dei
dati
personali nell'ambito
e per le finalita'
previsti dal
regolamento (UE) 2016/679;
e) adeguare,
nell'ambito delle modifiche
al codice di
cui al
decreto legislativo 30
giugno 2003, n. 196, il sistema
sanzionatorio
penale e
amministrativo vigente alle disposizioni
del regolamento
(UE) 2016/679 con previsione di
sanzioni penali e
amministrative
efficaci, dissuasive e
proporzionate alla gravita' della
violazione
delle disposizioni
stesse.
4. Dall'attuazione del
presente articolo non devono derivare nuovi
o maggiori oneri
a carico
della finanza pubblica
e ad essa
si
provvede con le risorse
umane, strumentali e finanziarie
disponibili
a legislazione
vigente.
******OMISSIS*****
FINE TESTO