Ultimo aggiornamento 10 Marzo 2020 di Alessandra

È passato ormai qualche mese dall’entrata in vigore del GDPR 2016/679, il Regolamento Europeo sulla privacy, e del D.Lgs. 101/2018, che ha radicalmente modificato il Codice della Privacy

L’intento del legislatore europeo era evidentemente quello di creare una normativa uniforme in tutti i paesi dell’Unione, sia pure lasciando a ogni stato la possibilità di introdurre misure legislative specifiche. Con il D.lgs. 10 agosto 2018 n. 101, invece, l’Italia non ha abrogato, ma soltanto modificato il Codice della Privacy, che resta in vigore, seppure con modifiche rilevanti e continui rinvii al GDPR.

È il momento giusto per tornare sull’argomento, data l’imminente fine della cosiddetta “moratoria” delle sanzioni. Si tratta, in verità, di una sorta di “invito” al Garante per la protezione dei dati personali a tener conto “della fase di prima applicazione delle disposizioni sanzionatorie” nell’applicare le sanzioni amministrative. Questo periodo di tempo terminerà a maggio 2019 e, pertanto, coloro che, a oggi, sono in ritardo nell’adeguarsi, sono ancora in tempo per mettersi in regola.

Vediamo le novità più interessanti introdotte nel Codice Privacy

L’art. 2 quinquies del D.Lgs. 196/2003 prevede che, in attuazione dell’art. 8 GDPR, il minore che abbia compiuto 14 anni possa esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta ai minori dei servizi della società dell’informazione. Con riguardo a dati genetici, biometrici e relativi alla salute, l’art. 2 septies prevede che il trattamento sia subordinato al rispetto di misure di garanzia disposte dal Garante con provvedimento almeno biennale, con precisa individuazione delle misure di sicurezza, con particolare riguardo alle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Per quanto concerne il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza, che non avviene sotto il controllo dell’autorità pubblica, lo stesso è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

I diritti di accesso, di rettifica, di cancellazione, di limitazione di trattamento, di opposizione, di non essere sottoposti a processo decisionale automatizzato, riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

E per quanto riguarda direttamente le aziende?

In ambito organizzativo aziendale, di sicura importanza è l’art. 2 quaterdecies che prevede l’ipotesi di attribuzione di funzioni e compiti a soggetti designati da parte del titolare o del responsabile del trattamento. Questi possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Nell’ambito del rapporto di lavoro, inoltre, il D.lgs. 101 modifica l’art. 111 del Codice Privacy, disponendo che il Garante promuova l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo specifiche modalità per le informazioni da rendere all’interessato.

Per quanto riguarda la gestione delle informazioni in caso di ricezione di CV trasmessi spontaneamente dagli interessati, l’art. 111 bis prevede ora che le informazioni ex art. 13 GDPR vengano fornite al momento del primo contatto utile, successivo all’invio del curriculum stesso. Inoltre, il legislatore italiano si premura di precisare che, nei limiti delle finalità dell’esecuzione di misure precontrattuali, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.

Come incide tutto questo sul marketing?

In materia di attività di marketing diretto, il nuovo art. 129 Codice Privacy prevede che il Garante individui, in cooperazione con l’Autorità per le garanzie nelle comunicazioni e in conformità alla normativa dell’Unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico. Il provvedimento del Garante dovrà individuare le modalità per la manifestazione del consenso all’inclusione negli elenchi e all’utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, nonché per finalità di marketing diretto.

Cambia qualcosa per il mio sito web?

L’introduzione del GDPR e le modifiche del Codice Privacy costituiscono certamente una rivoluzione per chiunque abbia un sito web. Che si tratti di un sito vetrina – che si limita a dare informazioni sui prodotti o servizi offerti, dando la possibilità di un contatto o di iscriversi ad una newsletter – o di un sito di e-commerce – che gestisce una mole di dati molto più importante – vanno tenute presenti le modifiche intervenute. È buona regola, pertanto, fare un check-up al proprio sito per avere la certezza della conformità normativa dello stesso.

Non ti senti sicuro? Approfitta della collaborazione tra Puntoventi, l’Avvocato Silvia Zazzarini e lo Studio Legale Busetto e richiedi un check-up completo del tuo sito sul piano dell’efficacia comunicativa, oltre che della conformità alla normativa attuale. Contattaci per saperne di più!