A seguito dell’entrata in vigore del regolamento GDPR, avvenuta lo scorso lo scorso maggio, la disciplina comunitaria in materia di privacy e di trattamento dei dati personali ha subito una sostanziale rivoluzione.

Le tante novità introdotte dal regolamento UE n. 679/2016 hanno quindi impattato nell’ordinamento italiano, creando situazioni di conflitto o di dubbio rispetto a quanto previsto dal precedente D.Lgs. 196/2003.

Per provare a coordinare le diverse normative vigenti, il legislatore interno ha varato un nuovo provvedimento, il D.Lgs. 101/2018, con cui sono state introdotte nuove disposizioni, ma anche operate significative modifiche dal previgente decreto, in ossequio alla nuova disciplina comunitaria.

Ad oggi, quindi, gli operatori del mondo della privacy e della gestione e trattamento dei dati personali dovranno districarsi tra tre diverse norme (il GDPR, il vecchio e il nuovo codice privacy) il cui coordinamento è ancora tutto da valutare.

Andiamo ora a vedere, però, quali sono le novità contenute nel nuovo D.Lgs. 101/2018 in vigore dal 19 settembre.

Semplificazione

Uno dei temi ricorrenti all’interno del nuovo testo normativo è quello relativo alla semplificazione delle procedure. Semplificazione che il Garante dovrà promuovere per le micro, piccole e medie imprese, soprattutto con riferimento alle modalità di adempimento degli obblighi previsti per il titolare del trattamento.

Un’altra previsione volta a semplificare la transizione tra le diverse discipline, riguarda i precedenti provvedimenti e autorizzazioni emanati dal Garante, nonché i codici deontologici, i quali continueranno ad essere efficaci fino a quando non saranno riesaminati.

Tra le novità previste dal decreto c’è anche la riduzione della maggiore età per esprimere il consenso al trattamento dei dati in relazione ai servizi della società dell’informazione: tale età è stata abbassata a 14 anni.

Sanzioni

Il nuovo codice privacy prevede significative novità in materia di sanzioni: in primis, per quanto riguarda le sanzioni amministrative, di cui il Garante dovrà presto andare a delinearne i contorni e la consistenza.

Il nuovo provvedimento ha poi razionalizzato l’intero impianto sanzionatorio, abrogando le numerose sanzioni penali che potevano essere sovrapposte alle nuove sanzioni amministrative previste dal regolamento.

Al contempo, sono stati introdotti i nuovi reati di:

• trattamento illecito di dati;
• comunicazione e diffusione illecita di dati;
• acquisizione fraudolenta di dati;
• false dichiarazioni al Garante;
• interruzione dell’esercizio dei poteri del Garante;
• inosservanza dei provvedimenti del Garante.

Per i procedimenti amministrativi pendenti, il D.Lgs. 101/2018 prevede la possibilità di definizione agevolata, previo il pagamento di una oblazione. Per i fatti previsti come reati e oggi depenalizzati, invece, è prevista la comunicazione al Garante da parte degli organi giudiziari procedenti.

Tra le sanzioni confermate, invece, c’è la totale inutilizzabilità dei dati personali non correttamente trattati, con l’eccezione del caso di utilizzo in sede giudiziale.

Il periodo di clemenza

Un importante misura transitoria è quella relativa al periodo di clemenza sull’irrogazione delle sanzioni.

Il codice privacy, infatti, prevede un periodo transitorio di otto mesi dall’entrata in vigore (quindi fino al 19 marzo 2019), durante il quale “il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Tale previsione consentirà alle aziende un più progressivo allineamento alle nuove disposizioni, le quali a loro volta potranno essere eventualmente riviste e ritarate da parte del Garante.

Questo lungo periodo di transizione, però, toglierà ogni scusa alle aziende che quindi devono attivarsi per regolarizzare la propria posizione entro il prossimo mese di marzo, per evitare contestazioni e sanzioni.