Nuovo codice della privacy in vigore dal 19.09.2018

mail_pec


Sebbene le disposizioni del GDPR non necessitassero di una legge per il recepimento nell'ordinamento del nostro Paese, essendo di efficacia immediata, era necessario che il nostro legislatore adeguasse alla nuova cornice regolamentare europea le disposizioni nazionali. A tale fine, il Consiglio dei Ministri del 21.03.2018 aveva approvato, in esame preliminare, un decreto legislativo che, in attuazione dell'art. 13 della legge di delegazione europea 2016-2017 (L. 25.10.2017, n. 163), introduceva disposizioni per l'adeguamento della normativa nazionale alle prescrizioni del GDPR. Il testo definitivo del decreto è stato approvato dal Consiglio dei Ministri dell'8.08.2018 e il relativo testo D.Lgs. 10.08.2018, n. 101 "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27.04.2016" è stato pubblicato sulla Gazzetta Ufficiale 4.09.2018, n. 205.
Contrariamente a quanto era previsto nella prima bozza del decreto, il vigente codice privacy (D.Lgs. 196/2003) non è stato abrogato né sostituito, ma profondamente rivisto dal D.Lgs. 101/2018. Infatti, sono state soppresse le disposizioni del codice incompatibili con il GDPR o relative a materie già in quest'ultimo disciplinate. Contemporaneamente sono state inserite nel codice altre disposizioni dirette a recepire alcune norme del Regolamento che non sono direttamente applicabili, in quanto prevedono soluzioni alternative lasciate alla discrezione dei singoli Stati membri.
La conseguenza di questa sovrapposizione di normative comunitarie e nazionali è che i titolari del trattamento dovranno districarsi nell'applicazione delle norme di 3 diversi provvedimenti primari: il GDPR, il novellato codice privacy e il D.Lgs. 101/2018.
Tra le numerose modifiche apportate al codice privacy, si segnalano:
- l'inserimento del nuovo art. 154-bis (operato dall'art. 14 D.Lgs. 101/2018), che al comma 4 prevede che in considerazione delle esigenze di semplificazione delle PMI, il Garante per la protezione dei dati personali promuova, nelle linee guida, modalità semplificate di adempimento degli obblighi del titolare del trattamento;

- la previsione di un “periodo di clemenza” per l'irrogazione delle sanzioni, di durata di 8 mesi dalla data di entrata in vigore del decreto e quindi fino al 19.03.2019, durante il quale “il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie” (art. 22, c. 13 D.Lgs. 101/2018);
- la rimodulazione del regime sanzionatorio, per renderlo più aderente al GDPR, con l'irrogazione di sanzioni di tipo diverso, amministrativo o penale, rispetto a quello previsto dal codice privacy previgente.