ROMA – Pubblicato in Gazzetta Ufficiale n.205 del 4 settembre 2018 il Decreto legislativo 10 agosto 2018 n.101 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Decreto che dispone l’esecuzione nell’ordinamento italiano del Regolamento (UE) 2016/679 attraverso totali modifiche e abrogazioni inerenti il Codice in materia di protezione dei dati personali Decreto legislativo 30 giugno 2003, n. 196. Entrerà in vigore il 19 settembre 2018.
La portata del provvedimento è evidente dal numero delle modifiche apportate al Codice che riguardano ognuna delle Parti I, II e III e dalla quantità di abrogazioni, elencate nell’ultimo articolo, 27. “1. Sono abrogati i titoli, capi, sezioni, articoli e allegati del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, di seguito elencati:
a) alla parte I: 1) gli articoli 3, 4, 5 e 6;
2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII;
b) alla parte II: 1) il capo I del titolo I; 2) i capi III, IV e V del titolo IV; 3) gli articoli 76, 81, 83 e 84; 4) il capo III del titolo V; 5) gli articoli 87, 88 e 89; 6) il capo V del titolo V; 7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119; 8) i capi II e III del titolo X, il titolo XI e il titolo XIII;
c) alla parte III: 1) la sezione III del capo I del titolo I; 2) gli articoli 161, 162, 162-bis, 162-ter, 163, 164,
164-bis,165 e 169; 3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179;
4) il capo II del titolo IV;
5) gli articoli 184 e 185;
d) gli allegati B e C”.
Evidente anche dal comma 1, c dell’articolo 2 del Decreto 101/2018 che va a emendare l’articolo 1 (oggetto) nella parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196. “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Continuando a partire dall’articolo 2 nello scorrere quanto previsto dal nuovo testo, all’articolo 2-quater si legge la disposizione che interessa il Garante, sul promuovere regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al capo IX del Regolamento(UE) 2016/679. Regole che saranno sottoposte a consultazione pubblica per 60 giorni, poi pubblicate con Decreto del Ministero della Giustizia e quindi elencate nel Codice con allegato A. Saranno “condizione essenziale per la liceità e la correttezza dei dati personali”.
Ancora, articolo 2 consenso del minore per i servizi della società di informazione; trattamento dati per interesse pubblico rilevante, trattamento dati biometrici e relativi alla salute: “i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo”. Con le misure di garanzia aggiornate almeno ogni due anni, dopo consultazione pubblica e con decreto del Ministero della Salute.
“4. Le misure di garanzia sono adottate nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, del Regolamento, e riguardano anche le cautele da adottare relativamente a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali”.
Ancora articolo 2, condanne penali e reati, limitazione per ragioni di giustizia, diritti delle persone decedute. Art. 2-septiesdecies (Organismo nazionale di accreditamento). – “1. L’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”.
L’articolo 3 riporta modifiche alla rubrica e al titolo I parte II del Codice e misure inerenti obbligo legale e interesse pubblico, l’articolo 4 i dati personali per sicurezza nazionale e articolo 5 trattamento dei dati su salute e orientamento sessuale in ambito pubblico.
L’articolo 6 interessa il trattamento effettuato da strutture sanitarie pubbliche e private: “1. Alla parte II, titolo V, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) l’articolo 75 è sostituito dal seguente: «Art. 75 (Specifiche condizioni in ambito sanitario). – 1. Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2-septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.»;
b) la rubrica del Capo II è sostituita dalla seguente: «Modalità particolari per informare l’interessato e per il trattamento dei dati personali»;
c) l’articolo 77 è sostituito dal seguente:
«Art. 77 (Modalità particolari). – 1. Le disposizioni del presente titolo individuano modalità particolari utilizzabili dai soggetti di cui al comma 2:
a) per informare l’interessato ai sensi degli articoli 13 e 14 del Regolamento;
b) per il trattamento dei dati personali”.
Articolo 7 studenti “Al fine di agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell’articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità”.
Il trattamento dei dati per fini statistici è affrontato nell’articolo 8; articolo 9 “Modifiche alla parte II, titolo VIII, del decreto legislativo 30 giugno 2003, n. 196” rapporti di lavoro. “1. Alla parte II, titolo VIII, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) la rubrica è sostituita dalla seguente: «Trattamenti nell’ambito del rapporto di lavoro»;
b) l’articolo 111 è sostituito dal seguente:
Art. 111 (Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro). – 1. Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato.»;
c) dopo l’articolo 111 è inserito il seguente:
«Art. 111-bis (Informazioni in caso di ricezione di curriculum). – 1. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”.
Articolo 11 trattamento dei dati da parte dei gestori di servizi di comunicazione elettronica, 12, giornalismo e libertà di informazione ed espressione, dove il comma 2,f prevede l’adozione da parte del Consiglio nazionale dell’ordine dei giornalisti di regole deontologiche in particolare per i dati relativi a salute, vita e orientamento sessuale, da adottare su proposta del Garante entro sei mesi o altrimenti, in attesa della disciplina di cooperaizone, redatte dal Garante stesso.
Le norme riguardanti reclami e forme di tutela sono disciplinate dall’articolo 13. Al vertice il Garante il cui ordinamento e le cui peculiarità sanzionatorie anche in rapporto all’ambito giudiziario generale vengono elencati negli articoli 14 e 15.
“Art. 17 Modifiche al decreto legislativo 1° settembre 2011, n. 150 1. L’articolo 10 del decreto legislativo 1° settembre 2011, n. 150, è sostituito dal seguente:
«Art. 10 (Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali). – 1. Le controversie previste dall’articolo 152 del decreto legislativo 30 giugno 2003, n. 196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo.
2. Sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell’interessato.
3. Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell’interessato, è proposto, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all’estero”.
Articolo 18 definizione agevolata delle violazioni, articolo 19 trattazione affari pregressi, 20 codici di deontologia e buona condotta vigenti: “1. Le disposizioni del codice di deontologia e di buona condotta di cui agli allegati A.5 e A.7 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, continuano a produrre effetti, sino alla definizione della procedura di approvazione cui alla lettera b), a condizione che si verifichino congiuntamente le seguenti condizioni:
a) entro sei mesi dalla data di entrata in vigore del presente decreto le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongano all’approvazione del Garante per la protezione dei dati personali, a norma dell’articolo 40 del Regolamento (UE) 2016/679, i codici di condotta elaborati a norma del paragrafo 2 del predetto articolo;
b) la procedura di approvazione si concluda entro sei mesi dalla sottoposizione del codice di condotta all’esame del Garante per la protezione dei dati personali”.
Entro 90 giorni dall’entrata in vigore del decreto il Garante verifica la compatibilità dei codici, chiamati regole deontologiche, alle nuove norme. Fino alla loro approvazione resteranno in vigore le precedenti. Entro 90 giorni è prevista una consultazione pubblica per l’adeguamento delle autorizzazioni generali del Garante, che dovranno poi essere approvate entro 60. Autorizzazioni generali che avranno effetto sulle categorie di trattamento fino all’adozione delle specifiche regole deontologiche.
Info: Decreto legislativo 101 del 10 agosto 2018 GU n.205 4 settembre 2018
