LE ASSOCIAZIONI E IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI.
Con la pubblicazione in Gazzetta Ufficiale del Dlgs 101/2018, avvenuta il 4 settembre ultimo scorso, per tutto ciò che attiene la materia della tutela e trattamento dei dati personali occorrerà fare riferimento al D.Lgs. n. 196/2003 novellato (ossia coordinato) dal D.Lgs. n. 101/2018 unitamente al Regolamento UE 27 aprile 2016, n. 679, il così detto GDPR.
In altre parole, occorrerà continuare a fare riferimento al Decreto Legislativo 30 giugno 2003 n. 196, il quale ha però subito delle evidenti modifiche a seguito dell’introduzione del Dlgs 101/18, proponendo un testo ampiamente rivisitato e con molti articoli abrogati. In aggiunta, il GDPR rimane ancora un riferimento obbligatorio ed importante in materia.
Tutto ciò evidenzia immediatamente l’esistenza di un impianto normativo complesso ed articolato, costituito da 3 differenti fonti. Il legislatore ha però valutato e tenuto conto di tale complessa situazione, stabilendo un periodo di 8 mesi (dunque fino al 18 maggio 2019) durante il quale l’applicazione di eventuali sanzioni rilevate a seguito di accertamenti effettuati dall’Autorità di controllo, dovrà essere mitigata e graduale, proprio in considerazione della difficoltà del quadro di riferimento e del periodo di prima applicazione delle sanzioni.
Ciò a cui si è puntato, dunque, attraverso l’emanazione del Dlgs 101, è stato garantire la continuità con l’impianto normativo preesistente, facendo salvi per un periodo transitorio i provvedimenti del Garante (compresi quelli indirizzati alle associazioni di volontariato) e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti, che potranno essere riassunti e modificati su iniziativa delle categorie interessate come codici di settore.
Il Garante avrà inoltre il compito di promuovere modalità semplificate di adempimento degli obblighi del titolare del trattamento, così come disposto al comma 4 del nuovo art. 154-bis del decreto legislativo 30 giugno 2003, n. 196.
Il testo di legge, però, non chiarisce molti dubbi che sono emersi dall’applicazione del GDPR in questo periodo: ad esempio, non viene ripreso il tema delle nomine dei Responsabili esterni del Trattamento fornendo ulteriori indirizzi rispetto alle casistiche in cui si rientra in questa circostanza, né tantomeno cosa fare se la nomina dovesse essere rifiutata dal fornitore. Tali aspetti probabilmente saranno affrontati nelle diverse Linee Guida del Garante Privacy, che potranno essere emanate anche per singoli settori. Altri aspetti “ignorati” sono l’applicazione di determinate misure di sicurezza o il concetto di “larga scala”.
Sinteticamente, gli aspetti che sono presi in considerazione nel Dlgs 101/18, e che più ci riguardano da vicino, sono relativi a:
Chiarimenti sulle modalità di trattamento di categorie di dati, come quelli relativi alla salute, i dati genetici e biometrici;
Individuazione della figura dei “soggetti designati” al trattamento dei dati personali, ai quali sono attribuiti specifici compiti e responsabilità; non vengono individuati solo soggetti “istruiti” e non sono più considerati i “responsabili interni al trattamento”.
Trattamenti di dati personali effettuati dalla Pubblica Amministrazione e dalla Sanità Pubblica.
Introduzione delle sanzioni penali solo per situazioni molto gravi ed individuazione di criteri di applicazione del sistema sanzionatorio.
Disposizioni per settori specifici, anche mediante semplificazioni nella gestione dei curricula ricevuti dalle organizzazioni.
Conferimento di poteri al Garante per l’aggiornamento di provvedimenti e disposizioni varie.
A questo punto, cosa dovranno fare le associazioni di volontariato nel periodo transitorio? Riteniamo che le attività fino ad oggi messe in campo (vedi la circolare 5 passi +1 per mettersi in regola ed i relativi allegati)
possano essere un valido strumento per superare il periodo transitorio, fino a quando il Garante non emanerà specifiche indicazioni.
Autori: Anna Simeone – Nicola De Rosa
