Il nuovo codice sulla privacy è ormai una realtà. Il 19 settembre è infatti entrato in vigore il D.Lgs. 101/2018, che contiene disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (qui il testo del Regolamento). Si tratta, come ormai noto, del regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
In estrema sintesi, il trattamento dei dati personali deve avvenire secondo le norme del GDPR e del D.Lgs. 196/2003 (come da ultimo modificato), nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.
Ecco allora qualche indicazione utile alle aziende, partendo da una precisazione: il decreto non prevede alcun periodo di non applicazione delle sanzioni amministrative, bensì un periodo in cui il Garante terrà conto della difficoltà di applicazione delle nuove norme. Questo potrebbe consentire di applicare solo i poteri correttivi che l’articolo 58 del GDPR, assegna al Garante.
Tuttavia, lo stesso articolo consente al Garante di infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, Regolamento UE 2016/679, in aggiunta alle misure correttive, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso.
Il Garante potrebbe dunque applicare le sanzioni amministrative pecuniarie, che sono di due tipologie:
• fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
• fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
ELEMENTI DA CONSIDERARE – Va ricordato che la normativa prevede che al momento di decidere se infliggere una sanzione amministrativa pecuniaria, il Garante dovrà tenere in debito conto i seguenti elementi:
a) la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento, tenendo conto delle misure tecniche e organizzative da essi messe in atto;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati o ai meccanismi di certificazione approvati;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
CURRICULA – Relativamente ai curricula spontaneamente trasmessi dagli interessati, il nuovo articolo 111-bis, Codice privacy, prevede che il datore di lavoro che li riceve fornisca l’informativa di cui all’articolo 13, Regolamento UE 2016/679, al momento del primo contatto utile e non è dovuto il consenso al trattamento dei dati personali ivi presenti.
SANZIONI PENALI – Il D.Lgs. 101/2018 ha previsto l’applicazione di sanzioni penali nel caso di:
• trattamento illecito dei dati;
• comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
• acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
• inosservanza di provvedimenti del Garante;
• violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.