Giuffrè Francis Lefebvre
25 giugno

Area Legale

GDPR e schema di decreto legislativo di adeguamento (Atto n. 22): concluso l’esame delle Commissioni

a cura di Dott. Francesca D’Ambrosio

Le Commissioni speciali su atti urgenti del Governo della Camera e quella del Senato hanno concluso l'esame dello schema di decreto legislativo di adeguamento della normativa nazionale al GDPR, approvando proposte di parere favorevole con condizioni e osservazioni.
Il parere delle Commissioni Speciali non è vincolante per il Governo, che dovrà approvare il decreto entro il prossimo 23 agosto.
Qui di seguito i principali temi oggetto delle condizioni e delle osservazioni delle Camere.

Consenso dei minori
La Commissione speciale ha previsto quale condizione l’abbassamento da 16 a 14 anni dell’età minima per il consenso al trattamento dei propri dati da parte di un minore.
Fra le osservazioni avanzate vi è la necessità che il titolare del trattamento rediga con linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.

Trattamento dati in casi di interesse pubblico
È stato proposto di inserire tra le finalità di interesse pubblico rilevante che autorizzano il trattamento di particolari categorie di dato:
- la tenuta di registri pubblici relativi a beni immobili o mobili;
- l’esercizio del mandato degli organi rappresentativi, compresa la loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione di cariche pubbliche;
- i casi di documentazione dell’attività istituzionale di organi pubblici, con particolare riguardo alle redazioni di verbali e resoconti dell’attività di assemblee rappresentative, commissioni o di altri organi collegiali o assembleari
- lo svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all'espletamento di un mandato elettivo;
- la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria nonchè la vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria.

Esenzioni e deroghe
La Commissione ha posto in evidenza l'esigenza di prevedere esenzioni o deroghe per i trattamenti effettuati a scopi giornalistici.

Dati genetici, biometrici e relativi alla salute
Con riferimento al trattamento dei dati genetici, biometrici e relativi alla salute una condizione chiede di specificare, in un elenco tassativo e non meramente esemplificativo, le materie rispetto alle quale il garante può adottare misure di garanzia, prevedendo altresì che tali misure individuano quelle di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti agli interessati.

PMI
La Commissione speciale chiede di specificare se anche le piccole imprese debbano provvedere alla designazione del responsabile per la protezione dei dati (DPO - Data Protection Officer) e alla tenuta del registro per le operazioni relative al trattamento dei dati, posto che i corrispondenti obblighi valgano per quelle strutture che debbano provvedere ad un trattamento di dati “su larga scala”.
La Commissione ha chiesto, inoltre, di prevedere per il Garante la possibilità di adottare linee guida di indirizzo riguardanti misure di organizzazione e tecniche di attuazione del Regolamento, tenendo conto delle esigenze di semplificazione di micro, piccole e medie imprese, anche in relazione al trattamento del personale.
Si chiede, inoltre, di introdurre tra i criteri per la graduazione delle sanzioni la dimensione dell'impresa con particolare riguardo alle micro, piccole e medie imprese.

Whistleblowing 
È stato richiesto il coordinamento con le norme in materia di whistleblowing, per tutelare l’anonimato del segnalante.

Persone decedute
Per quanto riguarda i diritti delle persone decedute, la Camera chiede di valutare l’opportunità di specificare se l’interessato per il quale si agisce a tutela sia il deceduto o un altro soggetto portatore di un interesse proprio.

Organismo di accreditamento
Il parere chiede di valutare l'opportunità di definire puntualmente la distinzione tra i ruoli svolti dall'ente nazionale di accreditamento (Accredia) e l'autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest'ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute.

Sanzioni amministrative
Si chiede di prevedere la notificazione della contestazione all'interessato di violazioni, assistite da sanzione amministrativa, anziché la mera comunicazione, giacché quest'ultima risulta priva delle caratteristiche di certezza necessarie nell'ambito dei procedimenti sanzionatori e prescrittivi amministrativi.
Si chiede anche di valutare l'opportunità di prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega e con le previsioni del Regolamento (UE) 2016/679, un minimo edittale alle sanzioni previste dal nuovo Regolamento, anche ai fini dell'accesso all'oblazione.

Norme penali
Per le fattispecie di trattamento illecito di dati, comunicazione e diffusione illecita di dati riferibili a un rilevante numero di persone e acquisizione fraudolenta di dati personali (artt. 167, 167-bis e 167-ter cod. privacy), le Commissioni chiedono di inserire il dolo specifico del danno all’interessato, oltre alla finalità del profitto per sé o per altri, al duplice fine di non lasciare impuniti fatti (come il c.d. revenge porn o lo slut shaming) e di assicurare continuità normativa rispetto al passato.
Si è suggerito al Governo di ampliare il novero dei possibili soggetti attivi del reato previsto dall'art. 167-bis e si è proposta, inoltre, la sostituzione dell'espressione "rilevante numero di persone" con altra più precisa e pregnante.
Il Parlamento chiede, poi, di ripristinare l'art. 170 cod. privacy sul delitto di inosservanza di provvedimenti del Garante.

Periodo transitorio
La Commissione chiede inoltre di valutare la possibilità che il Garante, in una fase transitoria, in ogni caso non inferiore a 8 mesi successivi all’entrata in vigore del decreto legislativo, non irroghi sanzioni alle imprese, ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act.

Dott. Francesca D’Ambrosio