Privacy: minori più protetti, otto mesi di moratoria soft, sanzioni
Rispetto alla formulazione originaria dello schema di Dlgs, si segnala la modifica dell’articolo 2-quinquies del Codice, in materia di consenso del minore in relazione ai servizi della societa dell’informazione (per esempio, cosi come precisato nella relazione illustrativa, dei trattamenti di dati conseguenti all’iscrizione a social network o a servizi di messaggistica). Non più 16 anni, ma già 14 sono sufficienti per poter esprimere il consenso al trattamento dei propri dati personali con riguardo a quei servizi; per i minori di 14 anni il consenso può essere espresso dai genitori (o da chi esercita la responsabilità genitoriale). Viene precisato, poi, che le informazioni e le comunicazioni relative devono essere redatte dal titolare del trattamento con linguaggio, oltre che particolarmente chiaro e semplice, facilmente accessibile e comprensibile dal minore (come giàprevisto nel precedente schema di Dlgs), anche conciso ed esaustivo, per rendere «significativo» il consenso prestato.
Un riferimento specifico ai minori di eta è stato aggiunto, poi, all’articolo 132-quater del Codice, rispetto ai quali il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve prestare «particolare attenzione» ai fini del rilascio dell’informativa sulla sussistenza di particolari rischi di violazione della sicurezza della rete.
All’articolo 2-undecies del Codice, relativo alle limitazioni ai diritti dell’interessato, viene aggiunto, fra i casi di esclusione dall’esercizio dei diritti previsti dagli articoli 15-22 del Regolamento (fra i quali, per esempio, il diritto di ottenere l’accesso ai dati personali), quello dell’eventuale pregiudizio (effettivo e concreto) che deriverebbe alla riservatezza dell’identitàdel dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio in base alla legge 179/2017 (Tutela del “whistleblowing”).
Modificato l’articolo 111-bis del Codice relativo ai casi di ricezione dei curricula spontaneamente trasmessi, chiarendo meglio la formulazione del testo: l’informativa sul trattamento di questi dati (articolo 13 del regolamento) è fornita al momento del primo contatto utile successivo all’invio del curriculum.
Il consenso al trattamento dei dati personali presenti nei curricula non e dovuto (nei limiti in cui il trattamento sia necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; articolo 6, parafrafo 1, lettera b) del Regolamento).
Risulta ancora il mantenimento, sia pur con lo spostamento sotto l’articolo 154-bis del Codice, della previsione che riconosce al Garante della privacy la possibilita di promuovere, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, modalitàsemplificate di adempimento degli obblighi del titolare del trattamento, nell’ambito delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del regolamento.
Quanto alle autorizzazioni generali gia adottate (relative a determinate situazioni di trattamento, fra le quali, ad esempio, quelle previste dall’articolo 9, paragrafo 2, lettera b) del regolamento, che disciplina il trattamento di dati particolari nel campo del diritto del lavoro e della sicurezza sociale e protezione sociale), sottoposte a verifica di compatibilita e ritenute dal Garante della privacy incompatibili con il regolamento, né è prevista la cessazione dal momento della pubblicazione in Gazzetta Ufficiale del provvedimento generale del Garante (al posto del termine prima contenuto di 90 giorni alla data di entrata in vigore del decreto legislativo).
Modificata, infine, rispetto allo schema di Dgs approvato in via preliminare, la norma relativa alle disposizioni transitorie e finali, riguardante la procedura che deve essere attivata al ricorrere di determinati trattamenti fondati sul legittimo interesse in base all’articolo 1, commi 1022 e 1023, della legge 205/2017, sostituendo il riferimento dei trattamenti dei dati relativi al minore raccolti on-line con quello dei trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome o del cognome dei minorenni.
Infine è disposto che, per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante tenga conto, per l’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento Ue 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
