ilPoliGrafico 186•18
questione di privacy
GDPR
Nuovo Decreto di armonizzazione: cosa cambia?
Riguardo alle novità del D.lgs. n. 101/2018 entrato in vigore il 19 settembre, che in ogni caso non apportano (ne avrebbero potuto apportare) modifiche significative all’impianto del GDPR, riportiamo di seguito quelle che ci paiono essere maggiormente significative per le imprese operanti nel settore della stampa. La mia azienda effettua marketing diretto tramite l’uso di posta elettronica. Per quanto riguarda l’email marketing, non ci sono novità di rilievo. La relativa disciplina trova la propria fonte nella Direttiva 2002/58/CE (la c.d. Direttiva e-Privacy), relativa al trattamento dei dati personali nel settore delle comunicazioni elettroniche, la quale non è stata intaccata dal GDPR, né dal D.lgs. n. 101/2018. Per lo svolgimento di campagne di email marketing sarà di regola necessario il consenso dell’interessato, a meno che (i) l’indirizzo email non sia stato acquisito nel contesto dell’acquisto di un prodotto o di un servizio, (ii) la campagna abbia ad oggetto un prodotto o un servizio analogo e (iii) l’interessato debitamente informato non abbia rifiutato tali invii al momento della raccolta dei dati o in un momento successivo. Va, comunque, segnalato che la materia sarà presto riformata a livello europeo con l’approvazione del Regolamento in materia di e-Privacy, il cui iter legislativo è ancora in corso. Riguardo alle sanzioni penali, cosa è cambiato? Sempre nell’ottica della continuità, attraverso il Decreto, il legislatore ha, invero, assunto la decisione (non scontata) di confermare l’impostazione contenuta nel Codice Privacy, che prevedeva illeciti penali per alcune violazioni in materia di protezione dei dati personali, ritenute particolarmente gravi.
70
Il Decreto ha, quindi: • previsto l’abrogazione della fattispecie di cui all’art. 169, relativa all’omessa adozione delle misure minime di sicurezza, in ragione dell’abrogazione delle corrispondenti disposizioni del Codice Privacy; • confermato i restanti illeciti penali; • introdotto due nuove figure di reato, aventi ad oggetto rispettivamente: (i) la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala e (ii) l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala. Ci sono novità che riguardano direttamente le PMI? Per le piccole e medie imprese appare interessante il nuovo articolo 154-bis, comma 4, del Codice Privacy (introdotto dal Decreto), il quale prevede che: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”. Allo stato, si tratta, tuttavia, di una mera enunciazione di principio con scarsa rilevanza dal punto di vista operativo, in quanto, al fine di comprendere la reale portata delle annunciate semplificazioni, bisognerà attendere le linee guida che verranno pubblicate dal Garante. Che impatto avrà il Decreto sulle autorizzazioni e i provvedimenti del Garante e sui codici deontologici? In questo caso il legislatore ha optato per la continuità. In particolare, per i codici deontologici e le autorizzazioni generali, il Decreto prevede un regime transitorio e un processo di revisione, sotto