È stato pubblicato in Gazzetta Ufficiale il decreto legislativo n.101 del 10 agosto 2018, che adegua la normativa nazionale al Regolamento generale in materia di protezione dei dati (Gdpr), in vigore dal 25 maggio scorso. Il nuovo provvedimento legislativo entrerà in vigore in Italia il 19 settembre.
Si tratta di fatto di un riordino delle regole sulla privacy, il cosiddetto Codice Privacy, risalenti al precedente decreto legislativo 196/2003, che ora viene armonizzato al Gdpr.
Fra le novità, scende a 14 anni (prima era 16) la soglia a partire dalla quale il minore potrà autorizzare al trattamento dei dati personali su internet. Le persone di età inferiore a 14 anni hanno invece bisogno del consenso di chi esercita la responsabilità genitoriale.
Il decreto sblocca anche il trattamento dei dati biometrici e relativi alla salute, che dovrà avvenire però seguendo le misure di garanzia disposte dal Garante Privacy.
Lo stesso Garante dovrà promuovere regole per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, che può essere effettuato anche oltre il periodo di tempo necessario per conseguire gli scopi per i quali i dati sono stati in precedenza raccolti o trattati.
Leggi il decreto sulla Gazzetta Ufficiale
Riguardo le sanzioni, come impone il Gdpr, si distinque fra quelle amministrative e penali, fatta salva la possibile definizione agevolata di un contenzioso davanti all’Authority di settore. Il decreto recupera alcune fattispecie come il trattamento illecito di dati personali, l’acquisizione fraudolenta, le false dichiarazioni rese al Garante.
Toccherà al Garante Privacy scrivere le regole per l’applicazione delle sanzioni amministrative, che possono arrivare a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende.
Per i primi otto mesi dalla data di entrata in vigore del decreto il Garante per la protezione dei dati personali terrà, ai fini dell’applicazione delle sanzioni amministrative della fase di prima applicazione delle disposizioni sanzionatorie.
Riguardo il trattamento illecito di dati, chi per trarre profitto o arrecare danno all’interessato, operando in violazione del Regolamento arreca un danno all’interessato, è punito con la reclusione da sei mesi fino a un anno e sei mesi e nei casi più gravi fino a tre anni. Punita con la reclusione da uno a quattro anni l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.
