Gdpr: il decreto attuativo slitta ad agosto

Il Regolamento europeo sulla privacy (Gdpr) è già in vigore, ma il decreto di attuazione è all’esame delle commissioni parlamentari, rinviando così il recepimento

di Annamaria Villafrate – Il Regolamento Europeo GDPR è in vigore. Ora, non resta che attendere il decreto di attuazione che, passato sotto il vaglio del Garante privacy, deve essere modificato e coordinato per adeguarlo alla normativa europea sulla privacy. Il Garante non ha infatti risparmiato critiche al decreto sui punti cruciali della riforma come la durata del data retention, il limite d’età dei minori legittimati ad esercitare azioni di autotutela e gli illeciti penali del Codice Privacy, della cui sopravvivenza dovranno occuparsi i giudici. In virtù del mancato arrivo dei pareri delle commissioni parlamentari, slitta dunque il termine del recepimento della delega al 21 agosto 2018. Ciò comporta che per un determinato periodo di tempo si verificherà una sovrapposizione tra quanto disposto dal regolamento europeo (direttamente applicabile) e le norme sulla privacy attualmente vigenti. Da più parti, dunque, si auspica che i pareri delle commissioni parlamentari e l’approvazione definitiva possano giungere quanto prima.

Gdpr: stop del Garante al decreto attuativo
Lo schema di decreto, che in virtù dell’art. 13 della legge delega n. 163/2017, deve adeguare la normativa nazionale alla normativa europea sulla tutela della privacy, non può essere approvato definitivamente. Come precisato dal Garante privacy:”Al fine di rendere il decreto pienamente conforme ai principi e alle disposizioni del Regolamento, perfezionandolo in alcuni punti anche sotto il profilo formale, si rappresenta di seguito l’opportunità di alcune modifiche e integrazioni”. La delega, scaduta il 21 maggio è stata così prorogata fino al 21 agosto 2018. I lavori quindi proseguono, al fine di approfondire gli aspetti critici sollevati dal Garante.

Garante privacy: cosa modificare del decreto
Vediamo in dettaglio quali sono le disposizioni che, secondo le osservazioni del Garante, il legislatore deve modificare:

Art 50 ter Codice dell’Amministrazione Digitale (Dlgs. n. 82/2005)

E’ necessario modificare questa norma, per evitare la concentrazione nelle mani di un unico soggetto del potere di acquisire, organizzare e conservare anche dati sensibili e sensibilissimi presenti all’interno della Piattaforma Digitale Nazionale Dati e per impedire accessi non consentiti e usi distorti.

Art 154 ter del Codice privacy, come modificato dallo schema del decreto
Il Garante ritiene che, per quanto riguarda le azioni giudiziarie che lo stesso è legittimato ad intraprendere “nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali” egli debba avere la facoltà e non l’obbligo di avvalersi del patrocinio dell’Avvocatura dello Stato, come altresì denunciato dall’U.E.

Art 167 comma 6 Codice Privacy
La norma che mira a garantire il principio del ne bis in idem, necessita di essere coordinata con l’art. 187-terdecies del d.lgs. n. 58/1998 “che limita l’esazione della pena pecuniaria “alla parte eccedente quella riscossa dall’Autorità amministrativa; circostanza che non ricorre nella disposizione in esame.”

Art 167 bis Codice Privacy
E’ necessario ampliare il novero dei soggetti autorizzati al trattamento dei dati, utilizzando “analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680, il termine generale “chiunque”.

Art 167 bis e 167 ter comma 1 Codice Privacy
Per queste disposizioni si rende necessario “considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’opportunità di assistere con la sanzione penale condotte connotate da un simile disvalore anche quando sorrette dal dolo di dannoe non solo da quello di profitto, aggiungendo dopo le parole “al fine di trarre profitto per sé o per altri” le parole “ovvero al fine di arrecare danno all’interessato”.

Art 170 Codice Privacy
Questa norma, che contempla il delitto di inosservanza di provvedimenti del Garante, se venisse abrogata darebbe vita ad un’illogica disparità di trattamento poiché, se l’inadempimento del provvedimento del Garante, fosse imputabile ad organi incaricati di funzioni di accertamento, prevenzione, repressione dei reati, integrerebbe gli estremi di un delitto, mentre se fosse imputabile a qualsiasi altro soggetto rileverebbe solo ai fini sanzionatori amministrativi.

Art. 166 Codice Privacy
La nuova formulazione di questo articolo presenta un difetto di coordinamento con altre disposizioni del testo, che è opportuno correggere.

Art 2 sexies Codice Privacy
Nella sua nuova formulazione questa norma presenta lacune evidenti per quanto riguarda il trattamento dei dati sensibili per motivi di interesse pubblico rilevante.

Nuovo Art 2 septies del Codice privacy
La disposizione disciplina il trattamento dei dati genetici, biometrici e relativi alla salute.

Il Garante invita a valutarne l’abrogazione o la modifica attraverso l’inserimento delle materie tassative rispetto alle quali può adottare misure di garanzia. Si propone altresì, di inserire un comma 6 bis per legittimare “le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica, basati su informazioni nella disponibilità cognitiva (password, user id) o su dispositivi (badge, token)”. Questo perché il Regolamento Europeo, in relazione all’utilizzo dei dati biomedici in ambito lavoristico prevede che il loro trattamento sia consentito quando “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.”

Art 2 quinques del Codice Privacy nella nuova versione modificata da decreto
La nuova norma, che innalza a 16 anni il limite di età consentito per esercitare determinate azioni giuridiche, deve essere coordinata con le altre norme di sistema che prevedono l’età di anni 14, ad esempio, per esercitare i diritti previsti a propria tutela contro atti di cyberbullismo.

Art 2 decies del Codice Privacy nella nuova versione modificata da decreto
E’ necessario eliminare il riferimento al “responsabile del trattamento” poiché i diritti previsti dagli artt. 15 – 22 del Regolamento si possono esercitare solo nei confronti del titolare del trattamento dei dati. Oltre questo è necessario inserire nei commi 2 e 3, dopo le parole “l’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e senza ritardo all’interessato” le seguenti “a meno che ciò possa compromettere le finalità della comunicazione medesima”.

Art 110 bis Codice Privacy che disciplina il riutilizzo dei dati a fini di ricerca scientifica o a fini statistici.
Il termine riutilizzo dovrebbe essere sostituito con “trattamento ulteriore da parte di terzi” e la norma dovrebbe essere meglio coordinata con alcune disposizioni del regolamento Europeo.

Art 28 schema di decreto AG 517 XVII legislatura
E’ necessario estendere all’autorità giudiziaria, al di fuori delle funzioni giurisdizionali penali, l’obbligo di designare il responsabile della protezione dati.

Nuovo Art 111 bis Codice Privacy
Si propongono modifiche al testo relativo al trattamento dei dati in materia di “informazioni in caso di ricezione di curricula”, per coordinare la disposizione con i principi del Regolamento, che prevedono “che l’interessato sia sempre informato in ordine al trattamento dei dati che lo riguardano”.

Art 2 duodecies dello schema di decreto
In relazione ai dati delle persone decedute si vuole garantire “che la volontà dell’interessato di vietare l’esercizio dei diritti di accesso ai dati che lo riguardano non sia condizionata da eventuali valutazioni predeterminate da terzi.” Occorre inoltre coordinare la norma con le disposizioni civilistiche rilevanti in relazione al divieto sull’esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell’interessato e del diritto di difesa in giudizio.

Art 166 comma 6 Codice Privacy nella sua nuova formulazione
Prevedere, al posto della semplice comunicazione la notifica della contestazione all’interessato per garantire la certezza tipica richiesta dai procedimenti sanzionatori e prescrittivi amministrativi.

Art 139 comma 2 codice deontologico dell’attività giornalistica
Sopprimere da “nel periodo compreso” fino a “successivamente” poiché la norma ha effetto al di là del periodo transitorio.

Art 21 schema di decreto
Si dovrebbero ampliare i termini “per consentire al Garante l’adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento” relativamente al trattamento di dati particolari in materia del lavoro e della protezione sociale. Si dovrebbe inoltre prevedere “che la cessazione degli effetti delle autorizzazioni generali ritenute incompatibili dovrà prodursi al momento della pubblicazione in Gazzetta Ufficiale della versione finale del provvedimento”, più altri perfezionamenti per consentire un miglior coordinamento con il contenuto dell’intero articolo.

Art 22 comma 5 schema di decreto
Si dovrebbe modificare, per adeguarlo all’art. 36 del Regolamento UE e riformularlo soprattutto perché si fa riferimento ai minori di età.

Il Garante prevede ulteriori precisazioni che comportano l’integrazione e la modifica del testo del decreto attuativo, che per la loro complessità, non è il caso di riportare in questa sede.

Garante Privacy: le principali critiche al decreto
Dall’analisi effettuata sulle varie disposizioni che, secondo il Garante meritano di essere abrogate, modificate o coordinate, meritano di essere approfondite quelle:

sulle fattispecie penali previste dal Codice Privacy, che se abrogate dal sopravvenire del Regolamento, in assenza di norme di coordinamento, cesserebbero di avere efficacia? Ai giudici il compito di risolvere la questione, nel rispetto del principio del ne bis in idem, secondo il quale allo stesso illecito non si possono applicare una sanzione penale e una amministrativa;
sull’introduzione, tra gli oggetti del dolo specifico, del “danno”, per tutelare al meglio le vittime colpite dall’uso distorto dei propri dati;
sul limite dei 14 anni, come età necessaria alla prestazione del consenso al trattamento dei dati personali da parte dei minori e non dei 16, come stabilito dal decreto attuativo, perché in contrasto con le regole europee;
sulla necessità di eliminare la norma che fissa in 72 mesi la durata dell’obbligo di conservare i dati di traffico telefonico e telematico e delle chiamate senza risposta per finalità anti-terrorismo, perché sproporzionata.

Che cos’è la fatturazione elettronica, obbligatoria dal 1 luglio (ma artigiani e Pmi chiedono una proroga)

All’interno della Legge di Bilancio 2018 è stato stabilito l’obbligo della fatturazione elettronica per tutti i soggetti Iva, esclusi quelli che applicano il regime dei minimi o il forfetario. Dal 1 luglio 2018 scatterà l’obbligo per i subappaltatori della PA e gli operatori della filiera dei carburanti mentre dal 1° gennaio 2019 l’obbligo sarà esteso a tutte le operazioni economiche tra aziende attraverso il sistema di interscambio Sdi, lo stesso utilizzato per le fatture elettroniche verso la Pubblica Amministrazione già dal 2014.

Con la novità si vogliono semplificare le procedure di fatturazione, dematerializzare i documenti ma, soprattutto, si vorrebbe controllare meglio il flusso di denaro tra le aziende al fine di ridurre l’evasione fiscale.

In pratica, il sistema di interscambio Sdi prevede che l’azienda acceda a un servizio web in cui è possibile caricare la fattura costruita secondo un formato standard. Per accedere al sistema, gestito dall’Agenzia delle Entrate insieme a Sogei e MEF, sarà sufficiente avere le credenziali Entratel o Fisconline o disporre di una carta nazionale dei servizi e di apposito lettore collegato al Pc (CNS) e di un indirizzo Pec.

A questo servizio dell’Agenzia delle Entrate si può integrare un software o un web service in grado di generare e inviare la fattura secondo il formato richiesto in maniera automatica. Ne esistono diversi, uno può essere Fattura Semplice di Sb Italia, società specializzata in “soluzioni IT per la gestione, l’integrazione e l’ottimizzazione dei processi aziendali”.

Pablo Pellegrini di Sb Italia ovviamente tira acqua al suo mulino e ritiene che: “la fattura elettronica sia solo la conclusione di un processo che a monte abbia già una struttura informatica ottimizzata e funzionale” e ipotizza un miliardo di documenti come volume atteso.

Effettivamente, l’introduzione dell’obbligo della fatturazione elettronica per gennaio 2019 rappresenterà un’ottima opportunità per tutti i fornitori di tecnologia, esattamente come lo è il Gdpr, perché un’azienda avrà essenzialmente due possibilità:

assumere uno specialista con minime competenze tecniche
o acquistare un software o un servizio web che, a fronte di un minimo sforzo, si occupi di gestire autonomamente le fatture.
Gli artigiani e le Pmi chiedono una proroga (e visto che ci siamo anche modifiche)
La Confederazione Nazionale Artigiani e Piccole e Medie Imprese ha recentemente diramato una comunicazione in cui chiede la proroga dell’obbligo di fatturazione elettronica.

In particolare, si legge nel documento: “la Cna non approva la scelta di avviare il sistema senza un adeguato periodo di sperimentazione e di test rigorosi e controllati concordati e condivisi con le grandi associazioni di rappresentanza delle imprese”.

Ma, in verità, un periodo di sperimentazione, seppur interno, è stato avviato da sei mesi. Inoltre, verrebbe da chiedere: come hanno fatto finora tutte le aziende che hanno fatturato alla PA?

La Cna prosegue con la richiesta dell’eliminazione della firma elettronica obbligatoria e l’ipotesi di una trasmissione automatica delle fatture anche agli intermediari e la fornitura gratuita del servizio di archiviazione elettronica per tutti gli scopi.

Ancora, la Cna richiede che vengano eliminati lo Split Payment – l’obbligo della liquidazione dell’Iva sugli acquisiti effettuati senza che provveda il fornitore -, l’obbligo di comunicazione dei dati delle liquidazioni Iva, l’innalzamento da 5mila a 50mila euro del limite per l’obbligo di apposizione del visto di conformità per poter compensare i crediti fiscali, il rimborso entro tre mesi dalla presentazione della dichiarazione annuale, la riduzione consistente della ritenuta dell’8% sui bonifici relativi a spese per lavori edili per cui si rende applicabile la detrazione fiscale. Di tutto un po’, insomma.

Secondo la Cna, vista la particolare situazione degli artigiani e delle Pmi italiane, bisognerebbe procedere con i piedi di piombo e pensare non solo a una proroga ma, già che ci siamo, anche a una revisione. Il pensiero della Cna è comune a molti dei partecipanti al Forum Italiano sulla Fatturazione Elettronica organizzato dall’Anorc (Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale ) tenutosi recentemente a Roma. In tanti, insomma, sembrano non considerare i possibili vantaggi contro l’evasione e la vergognosa arretratezza di troppe imprese, pensando solo ad accusare le istituzioni di aiutare le software house obbligando le aziende a spendere dei soldi per adeguarsi.

Maggio 2018 nuove regole sulla privacy

Nuove norme europee in materia di privacy, ma ancora in pochi sanno di cosa si tratta!!

Dal 25 maggio 2016 è in vigore il nuovo regolamento europeo relativo alla protezione dei dati personali delle persone fisiche ed alla libera circolazione di tali dati .Tra non molto, dunque, diventerà obbligatorio conformarsi alle nuove norme europee in materia di privacy.

Il nuovo Regolamento sulla privacy imporrà obblighi stringenti ed introdurrà nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Detto Regolamento andrà a sostituire il Codice della Privacy attualmente in vigore in Italia, riconoscendo importanti ed ampi diritti ai cittadini ed imponendo alle imprese ed alla Pubblica Amministrazione una forte responsabilizzazione. Introdurrà una legislazione in materia di privacy uniforme e valida in tutta Europa affrontando temi innovativi (quali, ad esempio, il diritto all’oblio). Al riguardo non tutti hanno ancora compreso la portata della nuova disciplina e, dunque, i processi di adeguamento risultano lenti e talvolta percepiti come meri aggravamenti burocratici. Cerchiamo, quindi, di comprendere le più importanti novità che saranno introdotte dal nuovo Regolamento in materia di privacy.

Chi sono i soggetti obbligati?

Devono conformarsi alle prescrizioni europee tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici.

Qual è l’ambito di applicabilità?

Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche.

Qual è la ratio della nuova normativa?

Lo sviluppo tecnologico e la globalizzazione, oltre agli innumerevoli vantaggi, comportano un rischio per la privacy di ognuno e per la protezione dei dati personali la cui condivisione e raccolta è aumentata in modo esponenziale. Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza.

Quali sono gli scopi della nuova normativa sulla privacy

La nuova disciplina ha i seguenti scopi:

• responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le libertà degli interessati (si parla in proposito di «accountability»);

• garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati;

• introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi. Sul punto, per approfondimenti leggi:Informativa sulla privacy: come funziona;

• garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito; per i minori di 16 anni è inoltre previsto che gli enti fornitori di servizi via web o Social Network debbano richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale (per saperne di più leggi anche: consenso sulla privacy: cos’è e quando è necessario;

• assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali;

• adottare ogni misura necessaria per il cosiddetto “data breach“,principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.

Qual è la tecnica in concreto utilizzata?

Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design.

Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una cosiddetta valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modifica e divulgazione non autorizzata.

Chi è il Responsabile della protezione dei dati personali?

Per il perseguimento delle finalità sopra descritte, il Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto Dpo). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.
Il diritto all’oblio

Il regolamento infine prevede il cosiddetto diritto all’oblio del cittadino, ossia il diritto ad ottenere la cancellazione dei propri dati personali anche «on line» se tali dati sono stati trattati solo sulla base del consenso dell’interessato o illecitamente oppure nell’ipotesi in cui gli stessi non siano più necessari a raggiungere gli scopi per i quali era stato fornito il consenso al trattamento. Il diritto all’oblio del cittadino potrà essere limitato solo per garantire la libertà di espressione volta alla tutela di un interesse generale (ad esempio la salute pubblica) o quando i dati trattati in forma anonima dal titolare del trattamento siano necessari per la ricerca storica o per finalità scientifiche o statistiche.

Privacy e nuove sanzioni

Manca poco alla piena applicazione del Regolamento, precisando che a tal riguardo si evidenzia che le norme che sanzionano il trattamento illecito di dati personali sono molto severe!! Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro.

È necessario, quindi, che le aziende interessate si attivino al più presto per conformarsi alle norme europee entro e non oltre il 25 maggio 2018.