Risultano opportune alcune modifiche alla parte sugli illeciti penali e amministrativi
Il Garante per la protezione dei dati personali ha espresso parere favorevole allo schema di DLgs. recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del nuovo Regolamento privacy Ue 679/2016 (GDPR), predisposto in attuazione della delega contenuta nell’art. 13 della legge di delegazione europea 2016-2017 n. 163/2017 (si veda “Promosse semplificazioni per gli adempimenti privacy delle PMI” del 12 maggio 2018).
Si ricorda, in merito, che il GDPR, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, è entrato in vigore lo scorso 24 maggio 2016, ma sarà direttamente applicabile dal 25 maggio 2018 (art. 99, par. 2 del GDPR).
In particolare, premesso un primo quadro illustrativo dello schema di DLgs. in oggetto, con l’indicazione delle principali novità rispetto all’ancora vigente Codice della privacy, sul quale il legislatore ha deciso di intervenire direttamente al fine di adeguare il quadro normativo interno al GDPR, il Garante ha posto alcune osservazioni, evidenziando anche l’opportunità di intervenire con modifiche e integrazioni.
Più nel dettaglio, nella parte relativa ai trattamenti particolari, nello specifico con riferimento al nuovo art. 2-quinquies del Codice della privacy, introdotto dallo schema di DLgs., che sancisce le condizioni specifiche per la validità del consenso prestato dal minore in relazione ai servizi della società dell’informazione (art. 8 del GDPR), il Garante ritiene “incoerente” la previsione del limite di 16 anni rispetto ad altre disposizioni della normativa nazionale, come in materia di adozione, nell’ambito del quale basta avere 14 anni per l’esercizio di determinate azioni giuridiche.
Secondo il Garante, poi, risulta “opportuno” estendere l’obbligo di designazione del Responsabile della protezione dei dati (RPD) all’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali diverse da quelle penali (artt. 37–39 del GDPR).
Quanto alla parte sugli illeciti penali e amministrativi, si fa presente, in particolare, l’opportunità di modificare ulteriormente l’art. 167 del Codice della privacy – così come sostituito dallo schema di DLgs. – relativo al trattamento illecito di dati, considerando, quale oggetto alternativo del dolo specifico, anche il nocumento, “in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno e non solo da quello di profitto”.
Con riguardo alla nuova fattispecie di reato di cui all’art. 167-bis del Codice della privacy, introdotto dallo schema di DLgs., relativo alla comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, il Garante esprime alcune perplessità in merito al mancato richiamo delle persone suscettibili di operare quali autorizzate al trattamento. Sarebbe, pertanto, opportuno ampliare la categoria dei soggetti attivi del reato in maniera più generale, richiamando “chiunque”.
L’art. 11, comma 1, lett. b) dello schema di DLgs., che modifica l’art. 122, comma 1 del Codice della privacy, relativo alle informazioni raccolte nei confronti del contraente o dell’utente nell’ambito dei servizi di comunicazione elettronica, con inclusione anche del trattamento attraverso siti web, per il Garante va modificato, sopprimendo solo il riferimento attualmente presente all’informativa ai sensi dell’art. 13 del Codice della privacy, in quanto deve avvenire secondo quanto stabilito dagli artt. 13 e 14 del GDPR.
Va, invece, ripristinato il richiamo alle modalità semplificate dell’informativa degli interessati – soppresso nello schema di DLgs. – in quanto in tale settore il ricorso alle suddette modalità risulta necessario “al fine di non rendere sproporzionato l’adempimento e rendere di immediata comprensione il trattamento che si intende effettuare, agevolando la «navigazione» nei siti medesimi”.
Viene espressa dal Garante “preoccupazione”, poi, per l’art. 50-ter del CAD (Codice dell’Amministrazione digitale, di cui al DLgs. 82/2005), relativa alla Piattaforma Digitale Nazionale dei Dati, volta a favorire la conoscenza e l’utilizzo del patrimonio informativo, detenuto, per finalità istituzionali, dai soggetti pubblici (con esclusione di alcune autorità), oltre che alla condivisione dei dati tra determinati soggetti.
Infatti, tale articolo – introdotto dall’art. 45, comma 2 del DLgs. 217/2017 – affida, in sede di prima applicazione, la sperimentazione della piattaforma al Commissario straordinario per l’attuazione dell’agenda digitale, il quale acquisisce i dati, li organizza e li conserva. Da tale concentrazione di informazioni presso un unico soggetto, secondo il Garante, potrebbero derivare dei rischi di usi distorti e accessi non autorizzati di dati sensibili condivisi.