In dirittura d’arrivo la legge interna di adeguamento al regolamento privacy europeo


1. Il Parlamento è favorevole allo Schema di Decreto Legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR – con alcune correzioni

Nella seduta del 20 giugno 2018, la Commissione Speciale per l’esame di atti del Governo (la “Commissione”) ha continuato l’esame dello Schema di Decreto Legislativo (lo “Schema di Decreto”) recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 (il “GDPR”), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

A seguito della discussione in aula, la Commissione ha rilasciato parere favorevole allo Schema di Decreto, tenendo tuttavia conto delle richieste di modifica formulate dai rappresentanti del Governo, delle segnalazioni avanzate dai gruppi parlamentari, nonché delle correzioni tecniche relative al trattamento dei dati personali da parte degli organi costituzionali.

Il parere, nel confermare la scelta di non abrogare il Codice sulla Protezione dei Dati Personali, propone che lo Schema di Decreto sia rivisto dal Governo al fine di prevedere:

(i) l’abbassamento a 14 anni dell’età minima ai fini dell’espressione del consenso autonomo da parte del minore in relazione ai servizi della società dell’informazione (art. 2-quinquies, co. 1, dello Schema di Decreto);
(ii) l’adozione, da parte del Garante per la protezione dei dati personali (il “Garante”), di linee guida volte a chiarire la nozione di “trattamento di dati personali su larga scala”, al fine di identificare con maggiore certezza le imprese interessate dalla designazione di un Data Protection Officer (“DPO”) ai sensi dell’art. 37 del GDPR;
(iii) il coordinamento tra la disciplina delle limitazioni ai diritti del soggetto interessato (art. 2-decies dello Schema di Decreto) con la disciplina del whistleblowing (l. 30 novembre 2017 n.179), ai fini della tutela della riservatezza del soggetto segnalante;
(iv)  la modifica delle nuove fattispecie penali previste dagli articoli 167, 167-bis e 167-ter dello Schema di Decreto, in modo che le condotte in esse descritte possano essere sanzionate non soltanto quando l’autore ha dolo di profitto, ma anche quando vuole danneggiare l’interessato.

Sul tema degli aspetti sanzionatori, l’aspetto più rilevante riguarda tuttavia la possibilità, prospettata dalla Commissione, di previsione di un vero e proprio “periodo transitorio”, in ogni caso non inferiore agli 8 mesi successivi all’entrata in vigore del Decreto Legislativo, durante il quale il Garante non irroghi sanzioni alle imprese, “ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act”.

Davanti a tale previsione, che dimostra la volontà del legislatore interno di “ammorbidire” l’entrata in vigore a piena forza del GDPR, rimane da domandarsi se uno Stato Membro abbia l’effettivo potere di dichiarare un sostanziale rinvio dell’applicabilità dell’impianto sanzionatorio così come previsto da una fonte di diritto europeo direttamente applicabile nell’ordinamento interno.

Si segala inoltre un’importante scelta sistematica del legislatore interno (art. 2-octies dello Schema di Decreto), che ha chiarito come anche soggetti privati possano trattare dati relativi a condanne penali e reati, sulla base e nei limiti previsti da leggi, in particolare nel campo dell’adempimento di obblighi e dell’esercizio di diritti in materia di diritto del lavoro, ma anche per finalità di antiriciclaggio e verifica dei requisiti di onorabilità previsti per l’assunzione di certe cariche sociali.

Viene inoltre confermata la validità dei provvedimenti adottati dal Garante sulla base della normativa previgente (es. provvedimento generale sulla videosorveglianza, provvedimento generale sugli amministratori di sistema), che andranno però applicati in quanto compatibili con il GDPR.

L’impostazione già fornita dallo Schema di Decreto risulta, in definitiva, confermata nel suo impianto generale dal parere della Commissione, seppur con delle rilevanti richieste di rivisitazioni, abrogazioni e integrazioni.

2. Il Garante per la protezione dei dati personali – provvedimento del 22 maggio 2018 sulla ricezione di chiamate promozionali indesiderate

Lo scorso 22 maggio 2018, il Garante per la protezione dei dati personali (il “Garante”), al termine delle ispezioni avviate a seguito delle numerose segnalazioni degli utenti interessati, che lamentavano di essere stati contattati con finalità promozionali nonostante non avessero manifestato il proprio consenso all’utilizzo della propria utenza telefonica, anche in tempi successivi all’opposizione (manifestata ai sensi dell’art. 7, comma 1, lett. b, del Codice per la Protezione dei Dati Personali), ha prescritto a una società di telecomunicazioni di rivedere le procedure con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati.

Il Garante ha altresì vietato alla società di utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento.

A seguito delle citate segnalazioni, gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di Finanza – avevano confermato la presenza di molteplici violazioni lamentate, a fronte delle quali, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.

In particolare, la società aveva omesso di predisporre delle liste di esclusione (le cosiddette “black list”) volte a prevenire che i propri partner inserissero nelle campagne promozionali numerazioni di chi si era già opposto al trattamento dei propri dati per finalità di marketing.

Il Garante ha evidenziato la presenza di gravi carenze nella modalità con cui la compagnia telefonica ha costruito la propria governance di protezione dei dati personali, in particolare per quanto concerne la propria rete commerciale.

Infatti, la società, pur essendo il titolare del trattamento dei dati delle persone contattate dai propri partner, aveva erroneamente qualificato larga parte dei punti vendita come titolari autonomi.

Alla luce delle irregolarità riscontrate, il Garante, con il citato provvedimento del 22 maggio 2018, ha vietato alla compagnia telefonica l’ulteriore trattamento dei dati personali per finalità di marketing in assenza di un valido, preventivo consenso espresso dagli utenti.

Ha inoltre prescritto l’adozione di significative misure tecnico-organizzative che garantiscano il pieno rispetto della normativa privacy, e dei principi di correttezza e di privacy by design. In particolare, la compagnia telefonica dovrà:

(i) creare liste di esclusione che i partner commerciali dovranno consultare prima di procedere con qualunque contatto promozionale;

(ii) aggiornare tempestivamente tali liste e condividere le stesse su base giornaliera con i partner coinvolti nelle campagne marketing;

(iii) comunicare agli utenti che si sono opposti a telefonate ed sms promozionali un codice univoco di conferma che possa essere utilizzato in caso di lamentela;

(iv) rimuovere tutte le condotte che limitano o comportano un più oneroso esercizio dei diritti per gli interessati.

L’Autorità ha poi avviato autonomi procedimenti sanzionatori per contestare le violazioni amministrative già accertate.

Si rileva inoltre che, per violazioni di questa natura commesse successivamente al 25 maggio 2018, data in cui è divenuto pienamente efficace il Regolamento dell’Unione Europea 679/2016 (“GDPR”), il rischio è di incorrere in sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.


Download the document