Le principali scadenze del decreto 101/2018 GDPR

Notizie Dx-Coffee (http://www.dxcoffee.com)

Lo scorso 4 settembre, con la pubblicazione in Gazzetta Ufficiale del decreto legislativo n. 101/2018 (“decreto 101 GDPR”), il legislatore ha profondamente modificato il Codice in materia di protezione dei dati personali (“Codice”) e ci ha restituito un testo molto complesso sotto vari punti di vista. Per aiutare a districarsi tra le varie previsioni, proviamo a stilare una sorta di calendario che potrebbe tornare utile. Per questioni di sintesi, non ho considerato ai fini di questo articolo i termini delle procedure avanti al Garante, le sanzioni penali, le disposizioni processuali (art. 17 del decreto 101), quelle relative alla trasmissione degli atti all’autorità amministrativa (art. 25 del decreto 101) e le disposizioni finanziarie (art. 26 del decreto 101).

Il calendario delle scadenza del decreto 101

  • 19 settembre 2018. È la data di entrata in vigore del decreto 101.
  • 19 settembre 2018. Cessano di produrre effetti le autorizzazioni generali relative a trattamenti diversi da quelli indicati al punto C che segue (art. 21 del decreto 101)
  • 60 giorni. È il periodo minimo in cui lo schema di regole deontologiche è sottoposto a consultazione pubblica per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al capo IX del GDPR e cioè quelli
    • necessari per adempiere ad un obbligo legale al quale è soggetto il titolare,
    • necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare,
    • di dati genetici, dati biometrici o dati relativi alla salute,
    • a scopi giornalistici o di espressione accademica, artistica o letteraria,
    • di dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico,
    • di un numero di identificazione nazionale o di qualsiasi altro mezzo d’identificazione d’uso generale,
    • nell’ambito dei rapporti di lavoro,
    • a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici,
    • soggetti a obblighi di segretezza,
    • svolti da chiese e associazioni o comunità religiose che applichino corpus completi di norme a tutela delle persone fisiche. Conclusa questa fase, il Garante approva le regole, vengono pubblicate nella Gazzetta Ufficiale e, con decreto del Ministro della giustizia, sono riportate nell’allegato A del Codice. (art. 2-quater del Codice).
  • 60 giorni + cadenza almeno biennale. È il periodo minimo in cui lo schema di provvedimento relativo alle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute è sottoposto a consultazione pubblica. Il provvedimento che stabilisce le misure di garanzia è adottato con cadenza almeno biennale. (art. 2-septies del Codice)
  • 18 dicembre 2018. Entro 90 giorni dalla data di entrata in vigore del decreto 101, il Garante verifica la compatibilità con il GDPR dei seguenti codici:
    • codice di deontologia – Trattamento dei dati personali nell´esercizio dell´attività giornalistica
    • codice di deontologia – Trattamento dei dati personali per scopi storici
    • codice di deontologia – Trattamento dei dati personali a scopi statistici in ambito Sistan
    • codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici
    • codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive
    • Questi codici, una volta rivisti, verranno chiamati regole deontologiche e costituiranno l’allegato A del Codice. Essendo soggetti alle procedure dell’art. 2-quater (v. sopra punto C) significa che i progetti di revisione dovranno essere sottoposti a consultazione pubblica almeno 60 giorni. Fino alla pubblicazione in Gazzetta Ufficiale delle regole deontologiche, detti codici continuano a produrre effetti. In pratica, ad oggi non si sa per quanto altro tempo questi codici resteranno applicabili nella loro attuale versione. Ovviamente è buona norma che ogni interprete valuti autonomamente se determinate disposizioni degli attuali codici possano essere incompatibili col GDPR, che prevale. (art. 20 commi 3-4 del decreto 101)
    • Per quanto riguarda le regole deontologiche relative ad attività giornalistiche si veda anche la procedura prevista dall’art. 139 del Codice e che coinvolge il Consiglio nazionale dell’ordine dei giornalisti.
  • 18 dicembre 2018. Entro 90 giorni dalla data di entrata in vigore del decreto 101, il Garante rivede la compatibilità col GDPR delle norme delle autorizzazioni generali relative ai trattamenti indicati sopra alla lettera C. Il provvedimento generale rimarrà in consultazione pubblica per un termine non specificato e verrà adottato entro 60 giorni dall’esito della consultazione pubblica. Dal momento della pubblicazione in Gazzetta Ufficiale dei testi, le attuali autorizzazioni generali ritenute incompatibili col GDPR cesseranno di produrre effetti. Fino ad allora continuano a produrre effetti le attuali autorizzazioni. Le autorizzazioni sopravvissute al “risciacquo in GDPR” produrranno effetti sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies. (art. 21 del decreto 101)
  • 19 marzo 2019. Con riferimento al
    • codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti e al
    • codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale
    • se (i) entro tale data le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongono al Garante codici di condotta come previsto dal GDPR e (ii) detti codici verranno approvati entro 6 mesi, allora si applicheranno i nuovi testi approvati e gli attuali cesseranno di essere efficaci. Se il termine del 19 marzo 2019 o quello dei 6 mesi per l’approvazione vengono violati, i codici sopra menzionati cesseranno di essere efficaci. Fino ad allora i testi attuali dei codici in questione continuano a produrre effetti. (art. 20 commi 1-2 del decreto 101)
  • 31 dicembre 2019. È l’ultimo giorno in cui sarà possibile accedere al registro delle notifiche effettuate ai sensi dell’art. 37 (abrogato) del Codice. (art. 22 comma 8 del decreto 101)
  • 19 marzo 2020. Entro 18 mesi il Ministro della giustizia deve emanare un decreto relativo al trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza che non avviene sotto il controllo dell’autorità pubblica e alle garanzie appropriate per gli interessati. (art. 2-octies del Codice e art. 22 comma 12 del decreto 101)

Procedimenti pendenti

  • 4 ottobre 2018. Entro 15 giorni dalla data di pubblicazione del decreto 101, il Garante avvisa tramite Gazzetta Ufficiale e il proprio sito che chi ha interesse ha 60 giorni di tempo per presentare al Garante motivata richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pervenuti entro la data di pubblicazione dell’avviso (potenzialmente anche precedente al 4 ottobre, se il Garante pubblica prima. Farà fede la data della pubblicazione in Gazzetta Ufficiale).
  • 18 dicembre 2018. Entro 90 giorni dalla data di entrata in vigore del decreto 101, per i procedimenti sanzionatori amministrativi pendenti e, al 25 maggio 2018, non ancora definiti con ordinanza-ingiunzione è ammesso il pagamento dei due quinti del minimo edittale. Ove entro tale termine, non si proceda a questo pagamento ridotto, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione immediata assumono il valore dell’ordinanza-ingiunzione senza obbligo di ulteriore notificazione. (art. 18 comma 1 del decreto 101)
  • 18 febbraio 2019. Entro 60 giorni dal termine di cui alla lettera K sopra, ove non sia stato effettuato il pagamento in misura ridotta, il contravventore è tenuto a corrispondere gli importi indicati negli atti che, nel frattempo, hanno assunto il valore di ordinanza-ingiunzione. In alternativa può produrre nuove memorie difensive (art. 18 comma 4 del decreto 101)
  • 19 maggio 2019. È una data fantasma. Per i primi otto mesi dalla data di entrata in vigore del decreto 101, il Garante tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile col GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. È un tentativo di norma di moral suasion ma ovviamente i criteri per irrogare le sanzioni sono molti (altri) e sono già nel GDPR. Tra l’altro, tenuto conto della lunghezza media dei procedimenti, perché la norma abbia un senso, dovrebbe riferirsi non ai primi otto mesi dalla data di entrata in vigore del decreto 101 ma alle violazioni commesse nei primi otto mesi dalla data di entrata in vigore del decreto 101. (art. 22 comma 13 del decreto 101)

Il funzionamento dell’Autorità

  • 9 mesi. È il termine per il Garante per la decisione sui reclami. Il termine decorre dalla data di presentazione e, in ogni caso, entro tre mesi, il Garante informa l’interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, che il Garante comunica all’interessato, il reclamo è deciso entro dodici mesi. (art. 143 del Codice)
  • 60 giorni e 30 giorni. Ai fini della composizione del Collegio del Garante (eletto da Camera e Senato, due membri ciascuno), i componenti devono essere eletti tra coloro che presentano la propria candidatura nell’ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. (art. 153 del Codice)
  • 7 anni. È la durata del mandato dei componenti del Collegio del Garante, presidente incluso. (art. 153 del Codice)
  • 45 giorni. Fatti salvi eventuali termini più brevi previsti dalla legge, è il termine per i pareri del Garante ad atre amministrazioni pubbliche. Decorso il termine, l’amministrazione può procedere indipendentemente dall’acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il termine di cui al presente comma, tale termine può essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. (art. 154 del Codice)

L’articolo Le principali scadenze del decreto 101/2018 GDPR proviene da Agenda Digitale.