Il Consiglio dei Ministri ha approvato ieri lo schema di DLgs. recante disposizioni per l’adeguamento della normativa nazionale al Regolamento Ue 679/2016 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, predisposto in attuazione della delega contenuta nell’art. 13 della Legge di delegazione europea 2016-2017 (L. 163/2017).
Il testo accompagna i pareri favorevoli espressi, con condizioni e osservazioni, sia dalle Commissioni speciali della Camera e del Senato per la valutazione degli atti del Governo, sia dal Garante della protezione dei dati personali.
Consenso dei minori
Riguardo alla enunciazione originaria dello schema di DLgs., si avverte la variazione dell’art. 2-quinquies del Codice, in materia di consenso del minore in relazione ai servizi della società dell’informazione, (si tratta, ad esempio, così come precisato nella Relazione illustrativa, dei trattamenti di dati conseguenti all’iscrizione a social network o a servizi di messaggistica). Arriva, in particolare, sostituito il riferimento dei 16 anni prima previsto con quello di 14 anni, per poter esprimere il consenso al trattamento dei propri dati personali con riguardo a tali servizi; al disotto di tale limite di età, il consenso può essere espresso in maniera valida solo dai soggetti che esercitano la responsabilità genitoriale.
Viene, poi, precisato che le informazioni e le comunicazioni relative a tale trattamento devono essere redatte dal titolare del trattamento con linguaggio, oltre che particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore (come già previsto nel precedente schema di DLgs.), anche conciso ed esaustivo, al fine di rendere “significativo” il consenso prestato.
Un riferimento specifico ai minori di età è stato aggiunto, poi, all’art. 132-quater del Codice, rispetto ai quali il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve prestare “particolare attenzione” ai fini del rilascio dell’informativa sulla sussistenza di particolari rischi di violazione della sicurezza della rete.
All’art. 2-undecies del Codice, relativo alle limitazioni ai diritti dell’interessato, viene aggiunto, fra i casi di esclusione dall’esercizio dei diritti di cui agli artt. 15-22 del Regolamento (fra i quali, ad esempio, il diritto di ottenere l’accesso ai dati personali), quello dell’eventuale pregiudizio (effettivo e concreto) che deriverebbe alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio ai sensi della L. 179/2017 (Tutela del “whistleblowing”).
Riservatezza dell’identità del dipendente
Viene, poi, modificato l’art. 111-bis del Codice, relativo ai casi di ricezione dei Curriculum Vitae volontariamente trasmessi al fine della apertura di un rapporto di lavoro, chiarendo meglio la formulazione del testo: l’informativa sul trattamento di questi dati (art. 13 del Regolamento) viene fornita al momento del primo contatto utile, successivo all’invio del curriculum stesso. Il consenso al trattamento dei dati personali presenti nei curricula non è dovuto (nei limiti in cui il trattamento sia necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; art. 6, par. 1, lett. b) del Regolamento).
Risulta ancora il mantenimento, sia pur con lo spostamento sotto l’art. 154-bis del Codice, della previsione che riconosce al Garante della privacy la possibilità di promuovere, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, modalità semplificate di adempimento degli obblighi del titolare del trattamento, nell’ambito delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento.
Quanto alle autorizzazioni generali già adottate (relative a determinate situazioni di trattamento, fra le quali, ad esempio, quelle di cui all’art. 9, par. 2, lett. b) del Regolamento, che disciplina il trattamento di dati particolari nel campo del diritto del lavoro e della sicurezza sociale e protezione sociale), sottoposte a verifica di compatibilità e ritenute dal Garante della privacy incompatibili con il Regolamento, ne viene prevista la cessazione dal momento della pubblicazione in Gazzetta Ufficiale del provvedimento generale del Garante medesimo (al posto del termine prima contenuto di 90 giorni alla data di entrata in vigore del DLgs.).
Viene, poi, modificata rispetto allo schema di DLgs. approvato in via preliminare la norma relativa alle disposizioni transitorie e finali, riguardante la procedura che deve essere attivata al ricorrere di determinati trattamenti fondati sul legittimo interesse ai sensi dell’art. 1, commi 1022 e 1023 della L. 205/2017, sostituendo il riferimento dei trattamenti dei dati relativi al minore raccolti on line con quello dei trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni. Infine è disposto che, per i primi otto mesi dalla data di entrata in vigore del decreto in commento, il Garante Privacy tenga conto, per l’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
