Nei primi otto mesi il Garante deve tenere conto, per le sanzioni, della fase di prima applicazione
È stato pubblicato sulla Gazzetta Ufficiale n. 205 di ieri il DLgs. 10 agosto 2018 n. 101, che, modificando il Codice della privacy di cui al DLgs. 196/2003, adegua la normativa nazionale al Regolamento Ue 679/2016 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (art. 13 della legge di delegazione europea 2016-2017).
Le disposizioni del DLgs. 101/2018 entrano in vigore il 19 settembre 2018; viene previsto, però, che, per i primi otto mesi, il Garante della privacy tenga conto, per quanto concerne l’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento, della fase di prima applicazione delle disposizioni sanzionatorie (art. 22, comma 13 del DLgs. 101/2018).
Il DLgs. 101/2018 – composto da 27 articoli – modifica il vigente Codice della privacy, intervenendo, così come precisato nella Relazione illustrativa, in primo luogo sulla maggior parte delle norme che sono risultate incompatibili con quelle del Regolamento, mediante la loro abrogazione; al loro posto, trovano attuazione le disposizioni del Regolamento, comunque già direttamente applicabili dallo scorso 25 maggio. Al contempo, per evitare duplicazioni, l’abrogazione ha riguardato anche le disposizioni del Codice della privacy concernenti materie già disciplinate dal Regolamento stesso.
Infine, il Codice della privacy è stato modificato rispetto a quelle norme del Regolamento non direttamente applicabili e che lasciano spazio di intervento agli Stati membri.
Allo stato vigente, dunque, coesistono principalmente due fonti normative in materia di privacy: da un lato, vi è il GDPR e, dall’altro, il Codice della privacy, sul quale ha inciso il legislatore con il DLgs. 101/2018, limitandosi però ad apportare modifiche e integrazioni, senza procedere alla sua abrogazione o sostituzione.
Nell’ambito delle norme abrogate vi sono, fra l’altro, quelle relative ai diritti dell’interessato (artt. 7–10 del precedente Codice). Nell’ambito del nuovo Capo III (“Disposizioni in materia di diritti dell’interessato”, sub Parte I, Titolo I), vengono disciplinati in tre articoli le limitazioni (art. 2-undecies del nuovo Codice), le limitazioni per ragioni di giustizia (art. 2-duodecies) e i diritti riguardanti le persone decedute (art. 2-terdecies; si vedano, nel Regolamento 679/2016, gli artt. 15–22).
Quanto alle limitazioni dei diritti dell’interessato (fra i quali vi sono il diritto di accesso, il diritto di rettifica e il diritto di cancellazione), in conformità a quanto disposto dall’art. 23 del Regolamento, il nuovo art. 2-undecies del Codice della privacy include, rispetto a quanto sancito dal precedente art. 8, comma 2 del Codice della privacy, il ritardo/la limitazione/l’esclusione dall’esercizio degli stessi in caso di pregiudizio effettivo e concreto per altri interessi normativamente tutelati.
Si tratta, più nello specifico, degli interessi tutelati in base alle disposizioni vigenti in materia di antiriciclaggio o di sostegno alle vittime di richieste estorsive. Sono, inoltre, tutelate le attività di Commissioni parlamentari d’inchiesta, le attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base a espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità, lo svolgimento delle investigazioni difensive o l’esercizio di un diritto in sede giudiziaria, la riservatezza dell’identità del dipendente che segnala un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.
Per le limitazioni più specificatamente riguardanti ragioni di giustizia, è stato introdotto il nuovo art. 2-duodecies del Codice della privacy.
Il nuovo art. 2-terdecies, poi, disciplina il trattamento dei dati riguardanti le persone decedute, non normate dal Regolamento e demandate agli Stati membri.
Riprendendo quanto già previsto dal precedente art. 9, comma 3 del precedente Codice della privacy, i diritti riferiti ai dati personali concernenti il de cuius possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
L’esercizio di tali diritti è limitato nei casi previsti dalla legge. Un’ulteriore limitazione può derivare direttamente dall’interessato che, in vita, lo abbia espressamente vietato, nelle ipotesi di offerta diretta di servizi della società dell’informazione, con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. Il divieto, che può sempre essere revocato o modificato, non può compromettere l’esercizio dei diritti da parte dei terzi di diritti patrimoniali derivanti dalla morte dell’interessato-de cuius stesso, oltre che del diritto di difendere in giudizio i propri interessi.