Le autorizzazioni generali saranno sottoposte ad un procedimento di verifica da parte del Garante della privacy
Il DLgs. 101/2018 contiene le disposizioni ai fini dell’adeguamento della normativa nazionale al Regolamento Ue 2016/679 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il DLgs. 101/2018, che è stato pubblicato nella Gazzetta Ufficiale n. 205 dello scorso 4 settembre ed entrerà in vigore dal prossimo 19 settembre 2018, ha così modificato il vigente Codice della privacy di cui al DLgs. 196/2003, intervenendo in maniera incisiva sul testo alla luce delle nuove regole e dei nuovi principi fissati dal Regolamento, primo fra tutti quello di “accountability”.
Al contempo, però, si è cercato di garantire una certa continuità con il quadro normativo precedente, facendo salvi per un periodo transitorio – così come specificatamente illustrato anche nella Relazione illustrativa – i provvedimenti e le autorizzazioni del Garante della privacy, oltre che i Codici deontologici vigenti.
Mentre per i provvedimenti del Garante della privacy, l’art. 22, comma 4 del DLgs. 101/2018 prevede in maniera più generale la loro applicazione, “in quanto compatibili” con il Regolamento e con lo stesso DLgs., per le autorizzazioni generali l’art. 21 del DLgs. 101/2018 stabilisce un procedimento specifico di verifica.
Più nel dettaglio, il Garante della privacy, con provvedimento di carattere generale da porre in consultazione pubblica entro 90 giorni dalla data di entrata in vigore del DLgs. (quindi, entro il 18 dicembre), dovrà verificare la compatibilità con le disposizioni del Regolamento e con il DLgs. delle prescrizioni contenute nelle autorizzazioni generali già adottate relative a determinate situazioni di trattamento. Nel far ciò, il Garante dovrà provvedere, eventualmente, al loro aggiornamento.
Il provvedimento, quindi, sarà adottato entro 60 giorni dall’esito del procedimento di consultazione pubblica.
Le autorizzazioni generali ritenute incompatibili cesseranno di produrre effetti dal momento della pubblicazione in Gazzetta Ufficiale del provvedimento.
Alla data del 19 settembre, invece, cessano di produrre effetti tutte le restanti autorizzazioni generali già precedentemente adottate.
Le autorizzazioni che saranno oggetto di verifica da parte del Garante riguardano i trattamenti di cui all’art. 6, par. 1, lett. c) ed e) del Regolamento, relativi rispettivamente al trattamento funzionale all’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento e a quello di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Inoltre, viene citato l’art. 9 del Regolamento, relativo al trattamento di categorie particolari di dati personali, e, più precisamente, l’art. 9, par. 2, lett. b), relativo al trattamento di dati particolari nel campo del diritto del lavoro e della sicurezza sociale e protezione sociale, e par. 4, relativo ai dati genetici, dati biometrici o dati relativi alla salute.
Infine, viene richiamato più genericamente il Capo IX, contenente le disposizioni relative a specifiche situazioni di trattamento, quali, libertà di espressione e informazione, accesso documentale, numero di identificazione nazionale, rapporti di lavoro, archivistica, ricerca scientifica, storica, statistica, obblighi di segretezza, contesti religiosi.
L’efficacia delle autorizzazioni generali del Garante e il provvedimento di carattere generale hanno effetto, rispetto alla corrispondente categoria di dati e di trattamento, fino all’adozione delle regole deontologiche e delle misure di garanzia di cui ai nuovi artt. 2-quater e 2-septies del Codice della privacy.
Le autorizzazioni del Garante della privacy relative al trattamento di quelle che, secondo il Codice della privacy ante modifiche, venivano definiti dati sensibili e giudiziari, riguardano: il trattamento dei dati sensibili nei rapporti di lavoro (n. 1/2016), dei dati idonei a rivelare lo stato di salute e la vita sessuale (n. 2/2016), dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni (n. 3/2016), oltre che da parte dei liberi professionisti (n. 4/2016), di diverse categorie di titolari, fra i quali ad esempio le imprese autorizzate all’esercizio dell’attività bancaria e creditizia o assicurativa (n. 5/2016) e degli investigatori privati (n. 6/2016), dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (n. 7/2016), dei dati genetici (n. 8/2016), dei dati personali per scopi di ricerca scientifica (n. 9/2016).
Con riferimento a tali autorizzazioni, per le quali era stato disposto il termine ultimo di efficacia per il 24 maggio 2018, tenuto conto appunto dell’applicazione del Regolamento dal giorno successivo, il Garante della privacy, nel provvedimento 19 luglio 2018 n. 424, aveva già stabilito che, nelle more del perfezionamento dell’iter legislativo di adeguamento e con riserva di ulteriori valutazioni al suo esito, le garanzie e le misure appropriate e specifiche di cui alle autorizzazioni generali per i trattamenti di categorie particolari di dati personali e di dati personali relativi a condanne penali e reati o a connesse misure di sicurezza si intendevano in vigore fino all’adozione di eventuali misure contenute nel DLgs. di adeguamento della disciplina in materia.