Lo scorso 19 settembre è entrato in vigore il D.Lgs. n. 101/2018 (il “Decreto”) recante disposizioni per l’adeguamento del quadro normativo nazionale alle disposizioni del Regolamento Europeo 679/2016 in materia di protezione dei dati personali (“GDPR”).
Il Decreto assegna al Garante per la protezione dei dati personali (il “Garante”) ampi poteri così come rilevanti oneri, quali la review di alcuni codici deontologici nonché l’emissione di specifiche linee guida che promuovano modalità semplificate di “messa in compliance privacy” per le micro, piccole e medie imprese.
Il Decreto reca, altresì, una serie di disposizioni volte a precisare taluni poteri ed obblighi gravanti sul Titolare e sul Responsabile del trattamento. Ad essi viene, tra le altre, permesso di mantenere le funzioni e i compiti assegnati ai soggetti interni all’azienda che, ai sensi della previgente normativa, potevano essere definiti, a seconda dei casi, responsabili o incaricati.
Il Decreto conferma la deroga all’obbligo di informativa nei casi di ricezione dei curricula vitae volontariamente trasmessi dall’interessato per instaurare un rapporto di lavoro. Resta intesto che allo stesso dovrà essere rilasciata idonea informativa al primo contatto utile successivo all’invio del curriculum. Viene, altresì, ribadito che il consenso al trattamento dei dati personali presenti nei curricula non è necessario purché lo stesso avvenga per finalità contrattuali o precontrattuali.
Inoltre, il Decreto prevede ipotesi di limitazione dei diritti garantiti agli interessati allorquando dal loro esercizio possa derivare, tra gli altri, un pregiudizio effettivo e concreto (i) agli interessi tutelati in base alle disposizioni in materia di antiriciclaggio ed (ii) alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio (cd whistleblower).
Il GDPR consente agli Stati di definire, fermo restando le sanzioni amministrative pecuniarie in esso previsto, altre sanzioni “purché siano effettive, proporzionate e dissuasive” nonché “in grado di assicurare l’applicazione della normativa”. Ed il Decreto è intervenuto sul punto confermando anche alcune fattispecie di reato presenti nel precedente normativa. Tra esse ricordiamo il trattamento illecito di dati, che prevede ora solo una lieve riduzione della sanzione massima da 24 mesi a 18 mesi, o la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.