Oblazione speciale per gli illeciti privacy pendenti e oblazione a regime per le future contestazioni. Pagando i due quinti del minimo si possono definire i procedimenti non conclusi alla data del 25/5/2018; per i nuovi procedimenti si può regolare la faccenda pagando la metà della sanzione irrogata dal garante della privacy. Sono le soluzioni individuate dal decreto legislativo di armonizzazione del codice della privacy italiano (dlgs 196/2003) al regolamento Ue sulla protezione dei dati n. 2016/679, divenuto efficace dal 25 maggio 2018 (noto anche come Gdpr). Il decreto, nella versione finale resa nota (si veda ItaliaOggi di ieri), abbassa a 14 anni l’età per il consenso a servizi della società dell’informazione, conferma i delegati interni e ridisegna il quadro sanzionatorio penale. Vediamo di illustrare i punti segnalati.
Minori. Abbassato a 14 anni la data per esprimere il consenso per il trattamento dati relativo all’offerta di servizi della società dell’informazione.
Delegati privacy. Nell’organizzazione dell’impresa o dell’ente pubblico trovano spazio i designati per specifici compiti e funzioni. Opereranno sotto l’autorità del titolare del trattamento e svolgeranno i compiti loro attribuiti quanto ad adempimenti di privacy.

Ispezioni. Per i primi otto mesi a decorrere dall’entrata in vigore del decreto di armonizzazione il garante della privacy dovrà tenere conto della fase di prima applicazione delle disposizioni sanzionatorie: queste non sono sospese, ma si deve avere la mano leggera.
Definizione agevolata. Per le violazioni non definite alla data del 25 maggio 2018 sarà possibile la definizione agevolata, pagando i due quinti del minimo, entro 60 giorni dalla data di entrata in vigore del dlgs di armonizzazione.
Orlazione a regime. Per le future contestazioni, il trasgressore e l’obbligato in solido possono definire la controversia relativa a una sanzione amministrativa, adeguandosi alle prescrizioni del garante, se impartite, e pagando un importo pari alla metà della sanzione irrogata.
Procedimenti pendenti. Bisogna confermare l’interesse a trattare reclami, segnalazioni e richieste di verifiche preliminare. Questo entro 60 giorni dall’entrata in vigore del dlgs di armonizzazione. Senza richiesta di trattazione diventano improcedibili. Per i ricorsi, invece, si segue un’altra strada: sono trattati d’ufficio come reclami.
Reclami. Sostituiscono i ricorsi al garante e saranno decisi entro nove mesi. Rimane la regola dell’alternatività con i ricorsi al tribunale.
Sanzioni amministrative. Si applica la legge 689/1981, e cioè la legge quadro sulle sanzioni amministrative pecuniarie.

Segnalazioni. Rimane la possibilità per chiunque di mandare una segnalazione al garante per l’adozione di provvedimenti correttivi e sanzionatori.
Reati. Il decreto prevede i reati di trattamento illecito dei dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento sui larga scala, falsità nelle dichiarazioni al garante e interruzione dell’esecuzione di compiti e poteri del garante, e inosservanza dei provvedimenti del garante.
Codici deontologici. I codici di condotta, allegati al Codice della privacy, continuano a produrre effetti provvisoriamente, fino alla loro eventuale rinnovazione.
Autorizzazioni generali. Prevista una procedura di rinnovazione delle autorizzazioni generali per i dati sensibili (da definire mediante provvedimenti del garante, sottoposti a preventiva consultazione pubblica).

Provvedimenti del garante. Continuano ad essere efficaci i provvedimenti del garante non incompatibili con il regolamento Ue.
Garanti. Prevista una procedura selettiva per la nomina a componente del collegio del garante della privacy.
Prove in giudizio. Viene mantenuta la regola del codice della privacy, per cui il giudice valuta l’ammissibilità e l’utilizzabilità di prove raccolte in violazione della privacy, che si intende usare in un processo.
Curriculum. Le informazioni per l’interessato (ex informativa) potranno essere fornite al primo contatto utile successivo all’invio spontaneo del curriculum.
Il consenso non è dovuto, sempre che il trattamento sia limitato a quanto necessario per la procedura precontrattuale di assunzione. Dopo giustizia. Anche le autorità giudiziarie devono nominare il responsabile della protezione dei dati.

Fonte: