Il D.Lgs 101/2018 ha allineato il Codice privacy italiano alle disposizioni del Regolamento 679/2016 (GDPR) e, per i primi otto mesi della sua entrata in vigore (19 settembre 2018) il Garante, ai fini dell’applicazione delle sanzioni amministrative, tiene conto “della prima fase di applicazione”. Non si tratta di una moratoria delle sanzioni, bensì di un’indicazione di ragionevolezza per chi è chiamato a vigilare sugli adempimenti privacy.
Un’altra buona notizia è quella per la quale il Garante individuerà modalità semplificate di implementazione del GDPR per piccole e medie imprese (è comunque prematuro per operare una valutazione della portata effettiva delle semplificazioni prospettate).
Come anticipato, il Decreto di adeguamento è intervenuto direttamente sul Codice privacy preesistente (forse rendendolo ancor più farraginoso, visti i già numerosi interventi che lo hanno interessato), assicurandone la continuità.
Tra gli interventi più significativi, ricordiamo i seguenti:
- I dati genetici, biometrici e relativi alla salute saranno oggetto di specifico provvedimento del Garante che individuerà, ogni due anni, specifiche misure di garanzia;
- Per alcuni particolari trattamenti (es: rapporti di lavoro) il Garante potrà adottare delle specifiche regole deontologiche;
- Il trattamento dei dati giudiziari è soggetto a regole particolarmente stringenti e le aziende dovranno valutarne il trattamento con grande attenzione;
- Confermata la necessità di ottenere il consenso per il direct marketing attraverso mezzi automatizzati;
- Le aziende possono delegare internamente specifici compiti in materia di privacy.
Il Codice privacy, ad ogni modo, lascia aperte diverse questioni che verranno auspicabilmente chiarite dal Garante privacy nei prossimi mesi.