mercoledì 5 settembre 2018

Aggiornato il Codice privacy

Con il D. Lgs. 101 del 2018, è stato aggiornato il D. Lgs. 196 del 2003 (Codice della privacy). Il D. Lgs. 101 si trova sul sito della Gazzetta ufficiale:
- www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.

Ringrazio una mia anonima amica per la segnalazione. Devo però dire che in questi giorni ho visto troppa fibrillazione per l'attesa di questo D. Lgs., come non vedevo neanche quelli che facevano la schedina e aspettavano i risultati delle partite. E, una volta uscita la notizia, tutti a dire quanto sono stati veloci a fornirla (come fossero dei personaggi dei film sui giornalisti). Secondo me, troppi stanno perdendo il senso del nostro mestiere.

Detto questo: il D. Lgs. 196 modificato non è ancora disponibile su Normattiva, ma, per chi non lo sapesse, è quello il posto giusto dove guardare:
- http://www.normattiva.it/.

Il commento di Francesco Pizzetti su Agenda Digitale mi sembra utile (ma sicuramente in futuro usciranno altri articoli; prego tutti di prestare attenzione alla reale competenza di chi li scrive):
- https://www.agendadigitale.eu/sicurezza/privacy/delega-per-il-gdpr-i-punti-forti-e-deboli-un-primo-giudizio/.

Altro articolo (molto sintetico) è di Giusella Finocchiaro:
- http://www.studiolegalefinocchiaro.it/2018/08/10/il-sole-24-ore-privacy-protetta-da-sanzioni-penali/.

Io, dopo una prima lettura, mi sono segnato alcuni punti, ma evito di trattarli nel dettaglio: altri lo faranno in modo molto più approfondito. Darò in futuro qualche link se mi sembrerà interessante. Rimane però la regola: leggere prima direttamente la normativa (il testo consolidato quando sarà disponibile) e solo successivamente gli articoli di giornale o i post sui social network.

Ecco i miei punti:
- ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso), con anche richiami sulle norme deontologiche, i minorenni;
- sono fornite le definizioni di "comunicazione" e "diffusione" (dovrò rileggere il Codice privacy e il GDPR per verificare meglio se questo ha impatto per esempio nelle informative);
- in molti casi mi pare siano promossi provvedimenti del Garante con misure prescrittive, tornando indietro rispetto all'impostazione basata sulla valutazione di adeguatezza; infatti sono stabilite regole sul mantenimento in vigore dei codici di condotta, delle prescrizioni attualmente richieste dalle autorizzazioni generali (che quindi saranno eliminate come autorizzazioni, ma rimarranno come prescrizioni), dei provvedimenti generali; è quindi necessario controllare gli aggiornamenti sul sito del Garante; questo mi induce anche a non dare per morto, tra gli altri, il Provvedimento AdS (anche se avrei voluto farlo);
- segnalo l'autorizzazione all'uso di dati biometrici per i dispositivi di controllo degli accessi, i limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione), i diritti riguardanti le persone decedute;
- continua a sorprendermi che sia necessaria una norma per ricordare che il titolare o il responsabile (intesi come organizzazioni) possono distribuire le responsabilità all'interno dell'organizzazione stessa;
- non mi pare sia stato modificato il comma 4 dell'articolo 130, che introduce il "consenso soft"; visto che ci sono difficoltà di interpretazione su "marketing diretto per legittimo interesse e non sulla base del consenso", speravo in qualcosa di diverso;
- introdotto un articolo un po' assurdo sull'obbligo, per i fornitori di trasmissione IT (e non dei servizi più evoluti), di fornire informazioni sui rischi di violazione della sicurezza della rete; dovremo vedere come sarà attuato;
- sono introdotte, come previsto, le sanzioni penali;
- la deroga alle sanzioni è formulata in modo curioso, vago e forse inutile (visto che il GDPR fornisce dei massimi e che il Garante non è l'unico a comminare sanzioni): "Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie";
- come previsto, l'allegato B con le misure minime è stato eliminato.

Invito a segnalarmi errori, che sicuramente ci sono, o ulteriori considerazioni di tipo "pratico".

PS: Grazie, per avermi segnalato correzioni, a Stefano Posti.

Nessun commento:

Posta un commento