Circolare n.205/2017

Confederazione Generale Italiana dei Trasporti e della Logistica

00198 Roma - via Panama 62 - tel. 068559151-3337909556  -  fax 06/8415576

e-mail: confetra@confetra.com - http://www.confetra.com

 

 

Roma, 24 novembre 2017

 

Circolare n. 205/2017

 

Oggetto: Ordine pubblico – Privacy – Nuova disciplina – Legge di delegazione europea 2016/2017 – Legge 25.10.2017, n. 163, su G.U n. 259 del 6.11.2017.

 

La legge di delegazione europea indicata in oggetto ha stabilito che il Governo è delegato ad adottare i decreti necessari all’adeguamento della normativa nazionale al nuovo regolamento europeo riguardante il trattamento dei dati personali (Regolamento UE n. 679 del 2016).

 

L’attuale normativa nazionale, come è noto, è costituita dal codice della privacy (decreto legislativo n. 196 del 2003) che aveva sostituito la precedente legge del 1996 con la quale era stata recepita la prima direttiva in materia (direttiva UE n. 46 del 1995) ora abrogata dal citato regolamento. Il Governo avrà tempo fino a maggio 2018 per adottare le nuove disposizioni.

 

Si segnalano di seguito gli aspetti principali previsti dal regolamento comunitario.

 

Ambito di applicazione – In base al nuovo regolamento la tutela della privacy riguarda esclusivamente le persone fisiche mentre, come era già previsto dal nostro ordinamento, non riguarda i dati delle persone giuridiche. Gli interessati, cioè le persone fisiche a cui si riferiscono i dati, dovranno manifestare in maniera libera, informata e inequivocabile, come oggi, il proprio consenso al trattamento dei dati. Sono stati introdotti nuovi diritti tra cui il diritto all’oblio e il diritto alla portabilità dei dati: previa richiesta sarà possibile ottenere rispettivamente la cancellazione definitiva dei dati trattati nonché il loro trasferimento a un diverso titolare del trattamento. Le nuove norme sono applicabili al trattamento dei dati effettuato da soggetti stabiliti all’interno dell’Unione indipendentemente dal luogo in cui avviene il trattamento stesso.

 

Soggetti responsabili – Vengono maggiormente definite le funzioni delle principali figure deputate alla tutela del trattamento dei dati personali.

Il titolare del trattamento dovrà essere in grado di dimostrare la conformità del trattamento stesso alla nuova normativa. L’adesione a codici di condotta o a meccanismi di certificazione potrà essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Il responsabile del trattamento, che interviene solo per conto del titolare, dovrà mettere in atto le misure tecniche e organizzative adeguate per rispettare le prescrizioni del regolamento e garantire la tutela dei diritti dell’interessato.

Viene ribadito il principio della limitazione del trattamento ai soli dati necessari al trattamento stesso.

 

Responsabile della protezione dei dati (RPD) – Il regolamento introduce l’ulteriore figura del responsabile della protezione dei dati (in inglese Data Protection OfficerDPO), obbligatoria per le imprese qualora i trattamenti effettuati richiedano un monitoraggio su larga scala o coinvolgano particolari categorie di dati sensibili (tra cui i dati sanitari, l’appartenenza sindacale, l’origine razziale o le opinioni politiche) o giudiziari. Il DPO potrà essere un dipendente o un professionista esterno, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal trattamento stesso, di vigilare sul loro effettivo adempimento, di fornire le valutazioni d’impatto sulla protezione dei dati raccolti.

 

Registro dell’attività di trattamento – Le aziende che effettuino trattamenti che includono dati sensibili o giudiziari, nonché le aziende con almeno 250 dipendenti, dovranno tenere un registro con le informazioni di tutte le attività relative al trattamento dei dati effettuato; tale registro dovrà essere a disposizione dell’autorità di controllo qualora ne faccia richiesta.

 

Violazione e perdita dei dati – Il titolare avrà l’obbligo di comunicare l’eventuale violazione o perdita dei dati personali dell’interessato notificando quanto avvenuto all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

 

Autorità di controllo – Il regolamento conferma la competenza sulla materia in capo a un’autorità indipendente (in Italia Garante della privacy) con poteri sanzionatori.

 

Diritto al risarcimento e responsabilità – Il regolamento prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento stesso abbia il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Questi sono esonerati dalla responsabilità qualora dimostrino che l’evento dannoso non è loro in alcun modo imputabile.

 

Regime sanzionatorio – Il regolamento prevede sanzioni amministrative pecuniarie fino al 4% del fatturato annuo complessivo a seconda della natura e della gravità della violazione, del carattere doloso o colposo, delle categorie di dati personali interessate.

 

Si fa riserva di tornare sull’argomento non appena saranno emanati i successivi decreti delegati.

 

Daniela Dringoli

Per riferimenti confronta circ.ri conf.li nn. 202/2017 e 39/2004

Codirettore

Allegato uno

 

Gr/gr

© CONFETRA – La riproduzione totale o parziale è consentita esclusivamente alle organizzazioni aderenti alla Confetra.

 

 

 

 

 

 

G.U. n. 259 del 6.11.2017

LEGGE 25 ottobre 2017, n. 163

Delega al Governo  per  il  recepimento  delle  direttive  europee  e

l'attuazione di altri atti dell'Unione europea - Legge di delegazione

europea 2016-2017.

 

  La  Camera  dei  deputati  ed  il  Senato  della  Repubblica  hanno

approvato;

 

                   IL PRESIDENTE DELLA REPUBBLICA

 

                               Promulga

 

                         la seguente legge:

 

                         ******OMISSIS*****

 

                               Art. 13

Delega al Governo per l'adeguamento della  normativa  nazionale  alle

  disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e

  del Consiglio, del 27 aprile 2016, relativo alla  protezione  delle

  persone fisiche con riguardo al  trattamento  dei  dati  personali,

  nonche' alla libera circolazione di  tali  dati  e  che  abroga  la

  direttiva 95/46/CE

 

  1. Il Governo e' delegato ad adottare, entro sei mesi dalla data di

entrata in vigore della presente  legge,  con  le  procedure  di  cui

all'articolo 31 della legge 24 dicembre 2012,  n.  234,  acquisiti  i

pareri delle competenti Commissioni parlamentari e del Garante per la

protezione dei dati personali, uno o piu' decreti legislativi al fine

di adeguare il  quadro  normativo  nazionale  alle  disposizioni  del

regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del

27 aprile 2016, relativo alla protezione delle  persone  fisiche  con

riguardo al trattamento  dei  dati  personali,  nonche'  alla  libera

circolazione di tali dati e che abroga la direttiva 95/46/CE.

  2. I decreti legislativi  di  cui  al  comma  1  sono  adottati  su

proposta del Presidente del Consiglio dei  ministri  e  del  Ministro

della giustizia, di concerto con i Ministri  degli  affari  esteri  e

della cooperazione internazionale,  dell'economia  e  delle  finanze,

dello sviluppo economico e  per  la  semplificazione  e  la  pubblica

amministrazione.

  3. Nell'esercizio della delega di cui al  comma  1  il  Governo  e'

tenuto a seguire, oltre ai principi e criteri direttivi  generali  di

cui all'articolo 32 della legge 24 dicembre 2012,  n.  234,  anche  i

seguenti principi e criteri direttivi specifici:

    a) abrogare espressamente le disposizioni del codice  in  materia

di trattamento dei dati personali, di cui al decreto  legislativo  30

giugno 2003, n. 196, incompatibili con le disposizioni contenute  nel

regolamento (UE) 2016/679;

    b) modificare il codice di cui al decreto legislativo  30  giugno

2003, n. 196, limitatamente a quanto necessario per  dare  attuazione

alle  disposizioni  non  direttamente   applicabili   contenute   nel

regolamento (UE) 2016/679;

    c) coordinare le disposizioni vigenti in  materia  di  protezione

dei dati personali con le disposizioni recate  dal  regolamento  (UE)

2016/679;

    d) prevedere, ove opportuno, il ricorso a specifici provvedimenti

attuativi e integrativi adottati dal Garante per  la  protezione  dei

dati  personali  nell'ambito  e  per  le   finalita'   previsti   dal

regolamento (UE) 2016/679;

    e) adeguare, nell'ambito delle modifiche  al  codice  di  cui  al

decreto legislativo 30 giugno 2003, n. 196, il sistema  sanzionatorio

penale e amministrativo vigente  alle  disposizioni  del  regolamento

(UE) 2016/679 con previsione  di  sanzioni  penali  e  amministrative

efficaci, dissuasive e proporzionate alla gravita'  della  violazione

delle disposizioni stesse.

  4. Dall'attuazione del presente articolo non devono derivare  nuovi

o maggiori oneri a  carico  della  finanza  pubblica  e  ad  essa  si

provvede con le risorse umane, strumentali e finanziarie  disponibili

a legislazione vigente.

 

******OMISSIS*****

 

FINE TESTO