Pubblicate nella Gazzetta Ufficiale del 4 settembre le nuove regole in materia di trattamento e circolazione dei dati personali.
L’Italia ha finalmente recepito – con il decreto legislativo 101 di agosto – le disposizioni del regolamento Ue 2016/679 entrato in vigore il 25 maggio scorso.
Il vecchio codice privacy italiano rimane. Una conferma più che una novità. Ma cambia titolo. Il decreto legislativo 30 giugno 2003 n. 196 sarà infatti denominato «Codice in materia di protezione dei dati personali recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.»
E’ la prima modifica, introdotta dal Decreto legislativo 101 del 10 agosto scorso, che entrerà in vigore il prossimo 19 settembre.
Il quadro normativo in cui andremo ad orientarci sarà costituito quindi da più fonti: dal Regolamento europeo 679/2006, dal nuovo decreto legislativo appena pubblicato e dal vecchio codice del 2003 -quest’ultimo novellato in molti articoli per effetto delle nuove norme.
Riservandoci un approfondimento più attento, ci permettiamo di segnalare alcuni aspetti che incidono sul mondo dell’impresa sociale in generale.
Tra questi, il tema del consenso dei minori in relazione ai servizi della società dell’informazione. Non parliamo genericamente del consenso per i trattamenti di dati che riguardano i minorenni ma solo di quelli relativi a servizi come iscrizione ai social network, servizi di messagistica. …Viene fissato a 14 anni compiuti il termine perché un minore possa raggiungere quella che alcuni indicano come “maggiore età digitale”. Ricordiamo che il Regolamento europeo fissava il limite a 16 anni.
Il decreto analizza il tema del trattamento di particolari categorie di dati “sensibili” effettuati da soggetti che svolgono compiti di interesse pubblico o connesso all’esercizio di pubblici poteri, decretandone una generale ammissibilità, nel rispetto di alcune condizioni. In questa definzione di interesse pubblico rientrano, per esempio, i rapporti tra soggetti pubblici ed enti del terzo settore, le attività socio assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti ed incapaci, i rapporti tra l’amministrazione e i soggetti accreditati o convenzionati con il servizio sanitario nazionale; la tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili; l’instaurazione, gestione ed estinzione di rapporto di lavoro di qualunque tipo…
Un approfondimento nel tempo meriterà invece per il trattamento dei dati genetici, biometrici e relativi alla salute. Specifiche misure di garanzia dovranno essere disposte dal Garante della privacy e riguarderanno, tra l’altro, anche i profili organizzativi e gestionali in ambito sanitario e le modalità di comunicazione diretta all’interessato della diagnosi e dei dati relativi alla propria salute.
Per le imprese che partecipano a gare d’appalto, il decreto rimanda a fonti ulteriori per il trattamento dei dati personali relativi a condanne penali e reati, ammettendone il generale trattamento se questo è autorizzato da una norma di legge o da regolamenti: rientrano in questo caso, per esempio, i trattamenti per la verifica dei requisiti di onorabilità, requisiti soggettivi o interdittivi, gli adempimenti connessi alle comunicazioni ed informazioni antimafia, l’accertamento dei requisiti di idoneità morale di coloro che intendono partecipare alla gara d’appalto, l’attuazione della disciplina del rating di legalità.
Novità vengono inoltre introdotte per la ricezione dei curricula spontaneamente trasmessi alle aziende ai fini dell’istaurazione di un rapporto di lavoro. Il decreto stabilisce che l’informativa vada fornita dalla società al momento del primo contatto utile con il candidato, successivo all’invio del curriculum stessi.
Il decreto fa poi chiarezza su due importanti indiscrezioni circolate negli ultimi giorni: la prima, contenuta nel nuovo articolo 154-bis comma 4 del Codice Privacy, è relativa alle esigenze di semplificazione per le micro, piccole e medie imprese.
Il nuovo articolo 154-bis comma 4 del Codice Privacy stabilisce espressamente che Garante per la protezione dei dati personali promuoverà delle linee guide finalizzate ad introdurre delle modalità semplificate di adempimento degli obblighi del titolare del trattamento.
La seconda, relativa alle esigenze di adeguamento “soft” alle nuove disposizioni da parte delle aziende, prevede, all’art. 22, che per i primi 8 mesi dalla data di entrata in vigore del decreto, il Garante terrà conto, ai fini dell’applicazione delle sanzioni amministrative, della fase di prima applicazione delle disposizioni sanzionatorie. Una norma che, pur nella sua formulazione definita dai molti “tautologica”, tuttavia risponde alla ratio di orientare le imprese verso una compliance privacy effettivamente coerente con un quadro normativo le cui “tessere”, come in un mosaico, sono ancora tutte da incastrare.
