Toggle

Dati sensibili e GDPR: il provvedimento del Garante

{6bd95cc7-81e3-47dd-8032-690c99efec71}_garante-privacy-provvedimento-5-giugno-2019

Largamente atteso e preannunciato nei giorni precedenti, il provvedimento in questione è ulteriore frutto dell’opera di graduale adeguamento delle disposizioni di diritto interno (nella fattispecie, di natura regolamentare) alla nuova cornice normativa costituita dal Regolamento UE 2016/679 (Garante per le protezione dei dati personaliProvvedimento 5 giugno 2019 – scarica il testo in calce).

L’art. 21 del D. Lgs. n. 101/2018 (intervenuto in modo consistente sul ‘Codice’ – D. Lgs. 196/2003 – per il citato adeguamento) aveva demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX, del Regolamento (disposizioni riferite, rispettivamente, a trattamenti di dati necessari per l’adempimento di obblighi di legge cui è soggetto il Titolare, trattamenti necessari per l’esecuzione di un compito di interesse pubblico o per l’esercizio di un pubblico potere di cui è investito il Titolare, trattamenti di dati sensibili in materia di diritto del lavoro e della sicurezza e protezione sociale, disposizioni che attribuiscono agli Stati la facoltà di introdurre norme più stringenti in materia di trattamento di dati genetici, biometrici e relativi alla salute, nonché disposizioni relative a specifiche situazioni di trattamento) che risultavano compatibili con le nuove disposizioni comunitarie, provvedendo, se del caso, al loro aggiornamento

Il Garante avviava il procedimento prescritto emanando il Provvedimento generale del 13 dicembre 2018, n. 497: in esso formalizzava le prescrizioni contenute nelle Autorizzazioni generali nn. 1, 3, 6, 8 e 9/2016 ritenute compatibili con le nuove disposizioni di legge, europee e di diritto interno.

Su tale atto, sempre in base al suddetto art. 21 (comma 1), veniva avviata una consultazione pubblica finalizzata alla acquisizione di osservazioni e proposte che si concludeva nei termini previsti (60 giorni dalla data di pubblicazione dell’avviso in G.U., avvenuta l’11 gennaio scorso) ed al cui esito ha fatto seguito l’adozione del presente Provvedimento, con il relativo Allegato 1 il cui contenuto comprende, per l’appunto, una serie di prescrizioni (misure di sicurezza, adempimenti e cautele) concernenti:

1. trattamenti di categorie particolari di dati nei rapporti di lavoro(Aut. gen. 1/2016)

2. trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Aut. gen. 3/2016)

3. trattamenti di categorie particolari di dati da parte degli investigatori privati (Aut. gen. 6/2016)

4. trattamenti di dati genetici (Aut. gen. 8/2016)

5. trattamenti di dati personali effettuati per scopi di ricerca scientifica (Aut. gen. 9/2016)

Due avvertenze, prima di concludere questa breve nota (e salvi prossimi approfondimenti):

  • la prima, che la violazione delle prescrizioni contenute in questo atto è soggetta alla sanzione amministrativa di cui all’art. 83.5 del Regolamento (fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente), come prescritto dall’art. 21, comma 5;
  • la seconda, che non c’è pace in questa materia e che la produzione normativa è destinata ad ulteriori innesti/sostituzioni, poiché ancora l’art. 21 – stavolta al comma 4 – ha stabilito che il presente provvedimento produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui rispettivamente agli artt. 2-quater e 2-septies del D. Lgs. 196/2003.

 

Condividi su

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *