Martedì 4 settembre è stato pubblicato in Gazzetta Ufficiale il decreto sulla privacy per l’adeguamento al GDRP: le novità su obblighi e sanzioni
Il 4 settembre scorso è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n.101 del 10 agosto 2018 in materia di privacy, che riprende e armonizza il Regolamento europeo per il trattamento dei dati personali, o GDPR.  Il testo riporta alcune novità in merito agli obblighi e alle sanzioni in caso di violazione dei dati personali, nonché alcune misure di semplificazione per le micro, piccole e medie imprese. Sotto questo aspetto tuttavia sarà chiamato ad esprimersi il Garante per la privacy, promuovendo modalità semplificate di adempimento degli obblighi del titolare del trattamento dei dati personali.
Le principali novità nel decreto legislativo riguardano gli obblighi del titolare del trattamento e le sanzioni, amministrative e penali, in caso di violazione della privacy. Cominciando dagli obblighi, il testo introduce alcune regole che comprendono i curriculum, le persone decedute e i minori. Nei casi di ricezione di curriculum, il decreto legislativo specifica che le informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) dovranno essere fornite alla persona interessata al momento del primo contatto successivo all’invio del Cv. Per quanto riguarda invece i dati relativi alle persone decedute, i diritti di accesso e di portabilità dei dati (articoli 15 e 22 del GDPR), essi potranno essere ereditati da chi ha un interesse proprio, da chi agisce in qualità di mandatario o per ragioni familiari meritevoli di protezione. Tuttavia, l’interessato potrà espressamente vietare questa possibilità, presentando dichiarazione scritta al titolare del trattamento. Infine, per i minori di quattordici anni, il consenso al trattamento dei dati personali dovrà essere esercitato da chi ne esercita la responsabilità genitoriale.
In merito alle sanzioni particolare rilevanza assumono i chiarimenti sulle sanzioni penali. In caso di trattamento illecito dei dati personali, il testo prevede la reclusione da sei mesi a un anno e sei mesi. Reclusione da uno a tre anni invece in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti. È previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti dell’Autorità. Chiari invece i rischi sulle sanzioni amministrative: le imprese che violano gli obblighi specificati dal decreto sulla privacy rischiano di essere assoggettate a multe che vanno da 10 milioni a 20 milioni di euro o che sono ricomprese tra il 2% e il 4% del fatturato mondiale annuo.
In entrambi i casi comunque spetta al Garante adottare i provvedimenti correttivi o le sanzioni previste dall’articolo 83 del GDPR. L’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di apposito reclamo o ad autonoma iniziativa dell’Autorità, nonché a seguito di accessi o ispezioni della Guardia di Finanza. Tuttavia, l’impresa potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro il termine di trenta giorni.
Il decreto legislativo entrerà in vigore il 19 settembre 2018.
Per leggere il testo completo del decreto legislativo sulla privacy clicca qui