Decreto armonizzazione Reg. UE Privacy: tutela Whistleblowing e moratoria sanzioni

Il Decreto di armonizzazione legislativa interna alle innovazioni di cui al Regolamento (UE) 2016/679 entrato in vigore il 25 maggio 2018 recepisce i pareri favorevoli espressi, con condizioni e osservazioni, sia dalle Commissioni speciali della Camera e del Senato per l’esame degli atti del Governo (il cui esame si è concluso il 20 giugno scorso), sia dal Garante della protezione dei dati personali (parere del 22 maggio 2018).

Rispetto alla formulazione originaria dello schema di DLgs., si segnala la modifica dell’art. 2-quinquies del Codice, in materia di consenso del minore in relazione ai servizi della società dell’informazione (si tratta, ad esempio, così come precisato nella Relazione illustrativa, dei trattamenti di dati conseguenti all’iscrizione a social network o a servizi di messaggistica).

Viene, in particolare, sostituito il riferimento dei 16 anni prima previsto con quello di 14 anni, per poter esprimere il consenso al trattamento dei propri dati personali con riguardo a tali servizi; al di sotto di tale limite di età, il consenso può essere espresso in maniera valida solo dai soggetti che esercitano la responsabilità genitoriale.

Viene, poi, precisato che le informazioni e le comunicazioni relative a tale trattamento devono essere redatte dal titolare del trattamento con linguaggio, oltre che particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore (come già previsto nel precedente schema di DLgs.), anche conciso ed esaustivo, al fine di rendere “significativo” il consenso prestato. Un riferimento specifico ai minori di età è stato aggiunto, poi, all’art. 132-quater del Codice, rispetto ai quali il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve prestare “particolare attenzione” ai fini del rilascio dell’informativa sulla sussistenza di particolari rischi di violazione della sicurezza della rete. All’art. 2-undecies del Codice, relativo alle limitazioni ai diritti dell’interessato, viene aggiunto, fra i casi di esclusione dall’esercizio dei diritti di cui agli artt. 15-22 del Regolamento (fra i quali, ad esempio, il diritto di ottenere l’accesso ai dati personali), quello dell’eventuale pregiudizio (effettivo e concreto) che deriverebbe alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio ai sensi della L. 179/2017 (Tutela del “whistleblowing”).

Viene, poi, modificato l’art. 111-bis del Codice, relativo ai casi di ricezione dei curricula spontaneamente trasmessi al fine della instaurazione di un rapporto di lavoro, chiarendo meglio la formulazione del testo: l’informativa sul trattamento di questi dati (art. 13 del Regolamento) viene fornita al momento del primo contatto utile, successivo all’invio del curriculum stesso. Il consenso al trattamento dei dati personali presenti nei curricula non è dovuto (nei limiti in cui il trattamento sia necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; art. 6, par. 1, lett. b) del Regolamento).

Risulta ancora il mantenimento, sia pur con lo spostamento sotto l’art. 154-bis del Codice, della previsione che riconosce al Garante della privacy la possibilità di promuovere, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, modalità semplificate di adempimento degli obblighi del titolare del trattamento, nell’ambito delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento.

Quanto alle autorizzazioni generali già adottate (relative a determinate situazioni di trattamento, fra le quali, ad esempio, quelle di cui all’art. 9, par. 2, lett. b) del Regolamento, che disciplina il trattamento di dati particolari nel campo del diritto del lavoro e della sicurezza sociale e protezione sociale), sottoposte a verifica di compatibilità e ritenute dal Garante della privacy incompatibili con il Regolamento, ne viene prevista la cessazione dal momento della pubblicazione in Gazzetta Ufficiale del provvedimento generale del Garante medesimo (al posto del termine prima contenuto di 90 giorni alla data di entrata in vigore del DLgs.).

Viene, poi, modificata rispetto allo schema di DLgs. approvato in via preliminare la norma relativa alle disposizioni transitorie e finali, riguardante la procedura che deve essere attivata al ricorrere di determinati trattamenti fondati sul legittimo interesse ai sensi dell’art. 1, commi 1022 e 1023 della L. 205/2017, sostituendo il riferimento dei trattamenti dei dati relativi al minore raccolti on-line con quello dei trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni. Infine è disposto che, per i primi otto mesi dalla data di entrata in vigore del decreto in commento, il Garante Privacy tenga conto, per l’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Pietro Alessio Palumbo

Scrivi un commento

Accedi per poter inserire un commento