GDPR: trattamento dei dati personali per scopi storici

Garante ha valutato la conformità al GDPR del codice per i trattamenti di dati personali per scopi storici

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Provvedimento del Garante Privacy del 19 dicembre 2018

Con il Decreto legislativo 101/2018, il Legislatore ha stabilito una specifica disciplina per i codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy (che, oggi, è stato abrogato dal suddetto Decreto legislativo, in quanto risultava incompatibile con il GDPR), prevedendo che:

  • rispetto al codice per l’esercizio dell’attività giornalistica (All. A.1), quello per il trattamento dei dati personali per scopi storici (All. A.2), quello per scopi statistici nel settore pubblico (All. A.3), quello per scopi statistici e scientifici nel settore privato (All. A.4), quello per svolgere investigazioni difensive o far valere o difendere un diritto in sede giudiziaria (All. A.6), il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.;
  • il codice per i sistemi informativi in tema di credito al consumo, affidabilità e puntualità nei pagamenti (All. A.5) e quello sul trattamento dei dati effettuato a fini di informazione commerciale (All. A.7), invece, hanno una efficacia temporalmente limitata di 6 mesi ed eventualmente di ulteriori 6 mesi, decorsi i quali o verranno sostituiti dai codici di condotta secondo le modalità stabilite dall’art. 40 del GDPR oppure cesseranno di produrre effetti.

Efficacia dei codici di condotta

Il Decreto legislativo ha voluto, in tal modo, affidare al Garante privacy il potere di salvare l’efficacia dei codici di condotta che erano stati adottati durante la vigenza del vecchio codice per la protezione dei dati personali e che risultano oggi conformi alle nuova disciplina privacy prevista dal GDPR e dal relativo Decreto attuativo italiano, in considerazione del fatto che essi nel corso degli anni hanno costituito una importante fonte di disciplina della privacy nei singoli settori dove sono stati adottati.

Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto il Codice per il trattamento di dati per scopi storici (allegato A2 al Codice), adottato con Provvedimento del Garante n. 8 del 14 marzo 2001, alla verifica di conformità con il l Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica e prevedendone la pubblicazione in GU.

Il Garante precisa preliminarmente che le regole contenute in detto allegato si applicano ai trattamenti di dati personali effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica e che il rispetto delle medesime costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (avendo cura altresì di precisare che, al contrario, il mancato rispetto delle stesse comporta l’applicazione della sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, se superiore, fino al 4% del fatturato mondiale dell’anno precedente.

Gli interventi modificativi

Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, deciso di sostituire il Titolo del Capo II in “Disposizioni generali per gli archivisti e liceità dei relativi trattamenti” e la rubrica dell’art. 3 in “Disposizioni generali”, nonché il titolo del Capo III in “Disposizioni generali per gli utenti e condizioni per la liceità dei relativi trattamenti” e la rubrica dell’art. 9 in “Disposizioni generali”, per evitare che le regole ivi contenute possano in futuro andarsi a sovrapporre rispetto ai codici di condotta, che potranno essere adottati ai sensi degli artt. 40 e ss. del GDPR. Inoltre, il Garante ha modificato la rubrica dell’art. 7 in “Esercizio dei diritti”, poiché già l’art. 16 del GDPR comprende anche il diritto di aggiornamento all’interno del diritto di rettifica e integrazione.

In secondo luogo, poiché l’art. 13 del GDPR non prevede alcuna deroga o semplificazione agli obblighi informativi a carico del titolare, il Garante ha eliminato la disposizione di cui all’art. 8 (“Fonti orali”) del Codice in esame che consentiva al titolare del trattamento di fornire un ‘”informativa semplificata” in caso di trattamento di fonti orali. Inoltre, il Garante ha ritenuto non conforme all’art. 14 del GDPR l’art. 11, comma 5, del codice di deontologia, il quale esonerava il titolare dall’obbligo di fornire l’informativa agli interessati nei casi di raccolta di dati personali presso soggetti terzi, quando ciò risulti impossibile o comporti uno sforzo sproporzionato, e in tal caso – contrariamente a quanto previsto dal citato art. 14 del GDPR – non prevedeva delle misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato.

Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.

Volume consigliato

 

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data...



 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it