Schema di decreto che abroga il Codice Privacy: ecco i punti principali
Lo schema di decreto che abroga il Codice Privacy stabilisce che il trattamento dei dati personali dovrà essere svolto in conformità alle norme del Regolamento (UE) 2016/679 (di seguito “Regolamento”) e al decreto abrogativo medesimo, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.
Nello schema abrogativo si parla in maniera estesa del trattamento di dati personali particolari di cui all’art. 9 del Regolamento (nella sostanza si tratta dei dati che nel Codice erano definiti dati sensibili), svolto per motivi di interesse pubblico rilevante ai sensi della lettera g), paragrafo 2, del medesimo articolo. Sul punto si stabilisce che tali dati per motivi di interesse pubblico potranno essere trattati solo in virtù di una norma di legge nazionale o europea che lo consenta, che dovrà specificare la tipologia dei dati e la finalità del trattamento. Il Decreto specifica gli ambiti in cui il trattamento di dati deve considerarsi svolto per motivi di interesse pubblico, tra questi:
- accesso civico e accesso a documenti amministrativi;
- tenuta di registri e anagrafiche della popolazione;
- attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
- attività ispettive;
- compiti relativi al servizio sanitario nazionale;
- formazione e istruzione;
- gestione dei rapporti di lavoro, previdenza e assistenza sindacale.
Per quanto concerne invece il trattamento di dati dei minori nell’ambito dei servizi ad essi rivolti nella società dell’informazione, la soglia prevista a sedici dal Regolamento per il minore che può da solo esprimere il consenso al trattamento di propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione, nel nostro Paese, viene ridotta a 14 anni; pertanto, per i minori di età inferiore sarà necessario ottenere il consenso espresso o di chi esercita la patria potestà sul minore o l’autorizzazione di questi al consenso prestato dal minore; senza la prova di aver ottenuto tale consenso il trattamento dei dati del minore è illecito. L’informativa dovrà essere redatta in un linguaggio comprensibile al minore.
Il titolo III del decreto si riferisce invece ai diritti degli interessati e alle limitazioni di tali diritti. In particolare, vengono previste limitazioni in ambito di: antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia. Limitazioni specifiche si riferiscono inoltre ai diritti dell’interessato al fine di tutelare l’indipendenza della magistratura e dei procedimenti giudiziari. Particolarmente rilevante è la disposizione riferita ai dati delle persone decedute, in relazione ai quali è previsto che i diritti dell’interessato possano essere esercitati da chi abbia un interesse proprio o agisca a tutela dell’interessato o per particolari ragioni familiari.
Con specifico riferimento ai dati genetici o biometrici, il trattamento potrà avvenire, come richiesto dal Regolamento e come era già previsto dal Codice, solo in presenza del consenso espresso dell’interessato o delle altre condizioni fissate all’art. 9 paragrafo 2 del GDPR e nel rispetto delle misure di garanzia che saranno delineate dal Garante in relazione a ciascuna specifica categoria di dati con provvedimento che verrà aggiornato ogni due anni. Questi dati non potranno essere in alcun modo diffusi.
In merito invece al trattamento dei dati giudiziari, lo schema di decreto prevede che, se non sussista una norma che lo autorizzi, esso possa essere svolto solo nel rispetto delle misure di sicurezza che verranno adottate con decreto del Ministero della Giustizia su proposta del Garante.
Uno specifico titolo del provvedimento è dedicato al trattamento dei dati sanitari, con particolare riferimento alle informazioni che medici e strutture sanitarie devono fornire agli interessati, definendo le modalità di rendere l’informativa nei casi d’urgenza. Sul punto si precisa che con riferimento al trattamento di dati sanitari necessario per garantire l’incolumità fisica dell’interessato o di terzi o la salute pubblica, viene cancellato ogni riferimento al consenso, che non costituisce più un requisito di liceità del trattamento alla luce dell’articolo 9, paragrafo 2 del Regolamento, mentre sono conservate le modalità particolari per rendere agli interessati, anche in forma semplificata, le informazioni di cui agli articoli 13 e 14 del Regolamento.
In relazione al trattamento di dati nel settore lavoristico, il decreto prevede che il Garante possa adottare misure e accorgimenti, anche in relazione a determinate categorie di titolari o di trattamenti, individuando garanzie specifiche per i trattamenti di dati personali effettuati nell’ambito dei rapporti di lavoro, con riferimento anche alla trasparenza del trattamento, al trasferimento dei dati personali “infra- gruppo” imprenditoriale e ai sistemi di monitoraggio sul posto di lavoro. Inoltre, ai sensi dell’articolo 9, paragrafo 2, lettere h) e i) del regolamento, il consenso non è più richiesto se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione.
Il decreto prevede inoltre norme per il titolare e responsabile del trattamento, i quali, nell’ambito della propria struttura organizzativa, potranno designare una persona fisica cui attribuire specifiche mansioni in relazione al trattamento dei dati personali (in sostanza, resta nel nostro ordinamento la possibilità di individuare la figura del responsabile del trattamento interno, che non verrà più chiamato in questo modo, ma potrà avere i medesimi compiti).