GDPR, decreto di adeguamento italiano pubblicato in Gazzetta Ufficiale 

12/09/2018
Il 4 settembre è stato pubblicato in Gazzetta Ufficiale il decreto italiano che armonizza la legge italiana ai principi stabiliti dal regolamento europeo GDPR in materia di protezione dei dati personali.

Si tratta di una revisione del vecchio decreto 196/2003, modificato e integrato con le specifiche stabilite dalla normativa europea, che entrerà ufficialmente in vigore il 19 settembre 2018.

Quali sono le novità introdotte dal decreto?

I principi del GDPR, dunque, rimangono validi anche per l’Italia, che recepisce integralmente le disposizioni del regolamento europeo, con l’aggiunta di regole specifiche per quanto riguarda, ad esempio, i dati trattati in ambito sanitario, i dati dei minori, e i trattamenti effettuati dalle piccole e medie imprese.
  • 8 MESI DI TREGUA - Tra le novità introdotte dal decreto troviamo delle disposizioni che mirano a dare un po’ di respiro alle aziende. Viene indicato un primo periodo di 8 mesi a partire dall’entrata in vigore del decreto, in cui il Garante terrà conto una certa gradualità in ispezioni e sanzioni, tenendo conto che siamo in una fase iniziale di attuazione. 

    Così cita il testo in Gazzetta Ufficiale, all’art. 22: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

  • ADEGUAMENTO SEMPLIFICATO PER LE PMI - Un’altra delle novità confermate in Gazzetta Ufficiale, è che si chiede al Garante di stabilire delle linee guida per un adeguamento semplificato al GDPR da parte delle PMI (art. 14):

    “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento.”

  • MISURE DI GARANZIA PER I DATI SANITARI - Anche per i dati sanitari il decreto stabilisce delle novità. Le condizioni che rendono possibile il trattamento dei dati genetici, biometrici e relativi alla salute sono individuate dall’art. 9 del GDPR. Ciò che è lasciato ai Garanti delle singole nazioni è l’individuazione delle misure di garanzia che avranno validità nel territorio dello specifico Stato, e che dovranno tener conto delle singole specificità nazionali. Come riporta il decreto all’art. 2, le misure che il Garante dovrà individuare riguarderanno sicurezza, inclusa la pseudonimizzazione dei dati, la minimizzazione, ed eventuali misure per garantire i diritti degli interessati. Il decreto stabilisce inoltre un limite di durata biennale per queste misure, che dovranno quindi essere costantemente aggiornate:

    “In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.”

  • CONSENSO DEI MINORI - Novità anche per quanto riguarda i dati personali dei minori. Il decreto, infatti, abbassa a 14 anni l’età a partire dalla quale un minore può autonomamente fornire i propri dati e il consenso al loro trattamento (il regolamento UE stabiliva una soglia di 16 anni). Ecco quanto riportato all’art. 2 del decreto: 

    “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.”

Newsletter