Pubblicato il decreto legislativo di armonizzazione al GDPR: novità in materia di lavoro, sanzioni e piccole e medie imprese

A cura di Damiana Lesce, Paola Lonigro e Valeria De Lucia

In data 4 settembre 2018, è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 101/2018 di armonizzazione della normativa nazionale al Regolamento Ue n. 679 del 2016 (“GDPR”).

La parte generale del Codice Privacy italiano risulta sostituita quasi integralmente dalle disposizioni del Regolamento, sicché le norme su principi, basi giuridiche del trattamento, informativa e consenso previgenti sono abrogate e sostituite da quelle europee.

Quanto alla parte speciale, di seguito una carrellata sulle principali novità, partendo da quelle in materia giuslavoristica.

• CURRICULUM VITAE

Il d.lgs. 101/2018 stabilisce che l’informativa ex art. 13 GDPR vada fornita al momento del “primo contatto utile”, successivo all’invio del curriculum. Nei limiti delle finalità stabilite dall'articolo 6, paragrafo 1) lettera b) del Regolamento UE, il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.

•  CONTROLLI A DISTANZA

Viene fatta espressamente salva la disciplina dell’art. 4 dello Statuto dei Lavoratori (come modificata nel 2015 dal Jobs Act) e viene altresì confermata la sanzione penale ex art. 38 l. 300/1970 per i casi di violazione del comma 1 dell’art. 4 Stat. Lav.

• CONSENSO DEI MINORI

In relazione all’offerta diretta di “servizi della società dell’informazione”, il consenso potrà essere espresso al compimento dei 14 anni di età.  Al di sotto di tale soglia, il consenso andrà prestato da chi esercita la responsabilità genitoriale.

• CODICI DEONTOLOGICI E AUTORIZZAZIONI GENERALI

Il Legislatore ha deciso di garantire la continuità facendo salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame.

Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione e da pubblicarsi entro novanta giorni dalla data di entrata in vigore del decreto, individuerà le prescrizioni contenute nelle autorizzazioni generali che risultino compatibili con le disposizioni del GDPR e del decreto legislativo 101/2018 e, ove occorra, provvederà al loro aggiornamento.

Le autorizzazioni generali sottoposte alla predetta verifica, e che dovessero essere ritenute incompatibili con il GDPR, cesseranno di produrre effetti.

Il Garante è, inoltre, chiamato a promuovere l’emanazione delle regole deontologiche concernenti il trattamento dei dati personali in alcuni settori (lavoro, giornalismo, statistica e ricerca scientifica), coinvolgendo i soggetti interessati ed effettuando una consultazione pubblica.

• SEMPLIFICAZIONI PER PMI

Gli adempimenti privacy per le PMI saranno semplificati. Il nuovo articolo 154-bis, comma 4 del Codice Privacy (introdotto dal Decreto 101) prevede: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”.

•  SANZIONI

Il legislatore italiano ha deciso di avvalersi della facoltà, concessa dal GDPR a tutti gli Stati membri, di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle severe sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo).

Vengono penalmente sanzionati:

• il trattamento illecito di dati personali;
• l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
• le false dichiarazioni rese al Garante;
• l’inosservanza dei provvedimenti del Garante;
• La violazione del comma 1 dell’art. 4 Stat. Lav..

A fronte di un sistema sanzionatorio amministrativo particolarmente ampio e rigoroso, caratterizzato da una forte dissuasività, alcuni tra i primi commentatori hanno posto in evidenza un possibile profilo di violazione del divieto di ne bis in idem, con riguardo a talune condotte.

Ai sensi dell’art. 22 comma 13 del d.lgs 101/2018, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

• DATI PERSONALI CONCERNENTI PERSONE DECEDUTE

Merita infine di essere menzionata la norma che si occupa dei dati delle persone decedute.

I diritti di cui agli articoli da 15 a 22 del GDPR riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

L’esercizio dei predetti diritti non è ammesso quando ciò sia vietato per legge, o quando - limitatamente “all'offerta diretta di servizi della società dell'informazione” - l'interessato lo abbia espressamente vietato con dichiarazione scritta ed inequivoca.

L’eventuale divieto non potrà, comunque, produrre effetti pregiudizievoli per l'esercizio da parte di terzi dei diritti patrimoniali che derivano dalla morte dell'interessato, nonché del diritto di difendere in giudizio i propri interessi.