Il Decreto di adeguamento al GDPR in Italia

Aggiornato il / Creato il / Di Andrea Antonielli

Il decreto 101/2018, in vigore dal 19 settembre 2018, rappresenta il testo di adeguamento della normativa italiana al GDPR (General Data Protection Regulation). In sostanza, ha integrato il Codice Privacy, che aveva precedentemente rappresentato la normativa di riferimento in Italia, introducendo interessanti novità in materia di data protection. In quest'articolo andremo ad approfondire le tappe che hanno portato all'elaborazione del decreto e i principali cambiamenti in tema di GDPR, Security e Privacy.

Vedremo nel dettaglio

L'adeguamento della normativa italiana al GDPR

Tutti abbiamo ormai sentito parlare del GDPR, il Regolamento europeo in materia di protezione dei dati, divenuto pienamente applicabile il 25 maggio 2018. Gli impatti che tale normativa ha avuto negli ultimi mesi su processi, organizzazione e budget delle imprese sono stati significativi.

È tuttavia necessario precisare come l’intera tematica della protezione dei dati personali non sia disciplinata solamente a livello europeo: il GDPR stesso rimanda infatti, per una serie di ambiti e declinazioni, alle normative dei singoli Stati membri. In particolare, nel nostro Paese è entrato in vigore il 19 settembre 2018 il decreto legislativo 101/2018 di adeguamento della normativa italiana al Regolamento.

Cosa dice il testo del decreto di adeguamento al GDPR

In sintesi, il provvedimento ha integrato e modificato, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il c.d. “Codice Privacy” (d.lgs. 196/2003) aveva precedentemente rappresentato la normativa di riferimento in Italia in materia di protezione dei dati. È importante tuttavia specificare come il Codice Privacy non sia stato interamente abrogato.

Le disposizioni contenute nel GDPR e il nuovo testo del d.lgs. 196/2003, dunque, sono stati i testi primari di riferimento in Italia per quanto riguarda la materia della data protection, così come novellato dal decreto 101/2018.

Qui rimandiamo al testo integrale del decreto 101/2018. Nel proseguo dell'articolo proviamo invece a spiegare come sta evolvendo l'attuazione del GDPR alla luce dell'introduzione di questo nuovo provvedimento.

Dal GDPR al testo di adeguamento

Un breve cenno al percorso che ha portato all’entrata in vigore del decreto di adeguamento della normativa italiana al General Data Protection Regulation (GDPR).

Il provvedimento ha visto la luce tre mesi dopo la data di effettiva applicabilità del Regolamento (25 maggio 2018). Queste le tappe fondamentali:

  • 14 dicembre 2017, su decreto del Ministro, viene istituita una commissione di studio con il compito di elaborare il provvedimento;
  • 4 gennaio 2018 inizia il lavoro effettivo della commissione, che ha potuto pertanto operare in un tempo limitato;
  • 8 agosto 2018 avviene l'adozione definitiva dello schema di decreto;
  • 4 settembre 2018 il provvedimento è pubblicato in Gazzetta Ufficiale;
  • 19 settembre 2018, trascorso il normale periodo di vacatio legis, il decreto di adeguamento al GDPR è finalmente entrato in vigore.

Decreto 101/2018 e GDPR

Ma cosa dice nel concreto il decreto di adeguamento al GDPR? Vediamo ora alcune delle principali novità introdotte a partire da settembre.

Diritti degli interessati

La prima di esse concerne il tema delle limitazioni ai diritti degli interessati. Il GDPR riconosce agli interessati un ampio spettro di diritti (accesso, rettifica, oblio ecc., artt. 15-22 del Regolamento) ma prevede anche che il diritto dell’Unione o di un singolo Stato membro possa limitare la portata degli stessi. Il d.lgs. 196/2003 prevede che i diritti riconosciuti all’interessato possono essere limitati qualora l’esercizio degli stessi comporti un pregiudizio effettivo e concreto ad altri interessi normativamente tutelati. Tra questi, a seguito dell’entrata in vigore del decreto 101/2018, rientra quello di garantire la riservatezza dell’identità del dipendente che segnala l’illecito aziendale di cui sia venuto a conoscenza in ragione del proprio ufficio: si tratta della fattispecie del “whistleblowing” (introdotta in Italia dalla legge 179/2017) che trova così una sua specifica collocazione nella normativa volta a proteggere i dati personali.

Diritti riguardanti le persone decedute

Un altro aspetto interessante introdotto dal decreto in esame è relativo all’esercizio dei diritti riguardanti le persone decedute. Il d.lgs. 196/2003 stabilisce che tali diritti possono essere esercitati dai prossimi congiunti che hanno ragioni familiari meritevoli di protezione, dagli esecutori testamentari e da chiunque dimostri di avere un interesse proprio a difesa di diritti patrimoniali. Il decreto 101/2018 prevede tuttavia che l’esercizio di tali diritti possa essere vietato o limitato dall’interessato, mediante apposita dichiarazione scritta, relativamente all’offerta diretta di servizi della società dell’informazione. Il legislatore ha voluto riprendere la disciplina previgente, adeguandola al contesto e alle problematiche attuali quali, ad esempio, questioni relative all’accesso ad account web, blog, portali, account di posta elettronica appartenenti ad una persona deceduta.

Consenso del minore

Un terzo punto importante riguarda il consenso del minore in relazione ai servizi della società dell’informazione, fattispecie non prevista dal d.lgs. 196/2003. Il GDPR ha introdotto la facoltà per il minore di prestare il consenso al trattamento dei propri dati, in presenza di tre condizioni cumulative, tra cui quella dell’età del soggetto, che deve essere superiore a 16 anni. Il decreto 101/2018 conferma l’impianto previsto dal Regolamento europeo riducendo tuttavia a 14 anni l’età minima per prestare validamente il consenso ai servizi della società dell’informazione. Si tratta di una scelta in linea con gli ordinamenti di altri Paesi europei e idonea a coordinare l’età del consenso ad altre normative interne che riconoscono una capacità di agire attenuata in campi specifici (quali adozioni, cyberbullismo e consenso agli atti sessuali). Per quanto riguarda i minori di età inferiore a 14 anni, il consenso deve essere prestato da chi esercita la potestà genitoriale, richiedendosi quindi un materiale coinvolgimento diretto di quest’ultimo e non una semplice autorizzazione come previsto dal GDPR.

Apparato sanzionatorio

Un tema sicuramente rilevante infine è quello relativo all’apparato sanzionatorio. L’art. 83 del GDPR distingue tra due tipi di sanzioni amministrative: a seconda della violazione delle disposizioni regolamentari possono essere infatti inflitte sanzioni pecuniarie fino a 10.000.000 € - o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente - oppure fino a 20.000.000 € - o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Lo stesso GDPR consente inoltre ai singoli Stati membri di prevedere ulteriori sanzioni, in particolare per le violazioni non soggette alle sanzioni amministrative pecuniarie di cui all’art. 83 del Regolamento. In virtù di tale facoltà, il decreto 101/2018 ha introdotto ulteriori fattispecie di illeciti soggetti alle sanzioni amministrative previste dal GDPR e ha previsto nuove sanzioni penali. Sono infatti state modificate o introdotte in particolare le seguenti fattispecie di reato: trattamento illecito di dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante e inosservanza di provvedimenti del Garante.

La protezione dei dati personali in Italia: riflessioni conclusive

In Italia, l’introduzione del GDPR ha portato a un aumento della consapevolezza sulla protezione dei dati personali e ha reso più rigorose le sanzioni per le violazioni della normativa sulla protezione dei dati personali. Nonostante ciò, è opportuno rilevare come il quadro normativo della disciplina della data protection in Italia non sia ancora completo ed esaustivo: il decreto infatti prevede e rinvia a regole deontologiche, codici di condotta, misure di garanzia, autorizzazioni generali e ad altri provvedimenti del Garante per la protezione dei dati personali. A tale figura vengono attribuiti ampi e significativi poteri di soft law che permetteranno di favorire una maggiore flessibilità nell’adeguamento della normativa alle reali esigenze concrete. Nel contesto in esame il GDPR rappresenta comunque il parametro di legittimità della normativa nazionale e, in ultima istanza, la disciplina primaria della materia.

Vuoi approfondire i rischi, le linee guida sulle sanzioni e le nuove prospettive riguardanti le certificazioni GDPR?

Scopri il Programma

  • Autore

Ricercatore Osservatorio Cyber Security & Data Protection