GDPR: pubblicato l'atteso decreto legislativo

Il 4 settembre 2018 è stato pubblicato il decreto legislativo 101 del 10 agosto 2018, il tanto atteso provvedimento delegato al Governo, per raccordare la nuova disciplina del GDPR con le norme già in vigore in materia.

L'entrata in vigore del decreto legislativo è fissata per il 19 settembre 2018, ecco alcune novità!

In sostanza il Codice per la protezione dei dati personali è stato ritoccato in molti punti, abrogandone anche alcune parti, per conformarlo al Regolamento Europeo che, è bene ribadirlo, è comunque pienamente in vigore ed efficace già dal 25 maggio 2018.

D.lgs 101/2018

Ecco alcune delle novità degne di nota, frutto di una prima veloce lettura:

  • I minori, dai 14 anni in su, possono prestare autonomamente il consenso al trattamento dei dati personali, senza l'intervento dei genitori esercenti la potestà purché, però, l'informativa sia redatta in modo semplice, chiaro e comprensibile per ragazzini di età compresa tra i 14 ed i 17 anni! Se, quindi, si raccolgono dati personali di minorenni, occorre studiare e preparare un'informativa che possa essere a loro comprensibile. Se così non fosse, il consenso non sarebbe validamente prestato.

 

  • Per quanto riguarda le misure di sicurezza da adottare per il trattamento di particolari categorie di dati (sensibili, giudiziari, biometrici e genetici), sarà compito del Garante quello di fornire delle linee Guida da aggiornare con cadenza almeno biennale.

 

  • Al Garante per la protezione dei dati personali, inoltre, è stato affidato il compito di preparare delle linee guida contenenti delle procedure semplificate per l'adeguamento al GDPR da parte delle micro, piccole e medie imprese ed anche per specifici settori di attività. Questo è uno degli aspetti più attesi di questa legge perché le imprese più piccole, che comunque occupano una buona fetta del mercato europeo, hanno da subito sollevato istanze di semplificazione per consentire un adeguamento al GDPR completo ma senza la necessità di sostenere costi troppo elevati, che peserebbero notevolmente sulla finanze di queste realtà.

 

  • Introduzione dell'"eredità del dato personale", ovvero la possibilità per i familiari di esercitare i diritti che sarebbero spettati all'interessato deceduto sui propri dati personali, a meno che questi non abbia espresso volontà diversa.

 

  • Per quanto riguarda le sanzioni, la nuova legge stabilisce una specie di "periodo di grazia" di 8 mesi dalla sua entrata in vigore, durante i quali il Garante, che è l'autorità preposta all'irrogazione delle sanzioni, terrà conto della complessità e delle difficoltà di adeguamento al GDPR. Non significa certo che non potranno esserci controlli e sanzioni, ma questi saranno probabilmente focalizzati sulle realtà più grandi, dove i rischi per i diritti fondamentali degli interessati sono più elevati o comunque le sanzioni potranno essere un pò più "benevole" rispetto a quando il tutto sarà a completo regime. Insomma non mancherà un piccolo "occhio di riguardo", tenendo in considerazione la complessità della normativa, che ha notevolmente incrementato gli oneri dei titolari dei dati personali.

Insomma il tanto atteso decreto legislativo ha avuto un impatto più rilevante a livello tecnico-giuridico, mediante un lavoro di raccordo tra le vecchie e nuove normative, demandando al lavoro dell'autorità Garante la disciplina di dettaglio che possa fornire qualche indicazione e linea guida pratica per le realtà più piccole.

Scarica la Guida gratuita per imprenditori digitali