Le décret législatif italien n° 101/2018 (le « Décret ») portant dispositions pour la mise en conformité des textes nationaux aux dispositions du Règlement européen 679/2016 relatif à la protection des données à caractère personnel (le « RGPD ») est entré en vigueur le19 septembre dernier.
Ce décret donne au Garant de la protection des données personnelles (le « Garant ») les pouvoirs les plus amples ainsi que les obligations inhérentes, comme la review de certains codes de déontologie ainsi que la diffusion de directives spécifiques encourageant des modalités de « mise en conformité » simplifiées pour les micro-entreprises et les petites et moyennes entreprises.
Le décret introduit également une série de dispositions visant à préciser certains pouvoirs et obligations du responsable et du sous-traitant du traitement. Il leur est entre autres permis de maintenir les fonctions et les tâches confiées au personnel interne à l’entreprise qui, au sens de la réglementation antérieure, pouvait être qualifié, selon le cas, de sous-traitant ou préposé.
Le décret confirme la dérogation à l’obligation de note d’information en cas de réception d’un curriculum vitae volontairement transmis par la personne concernée dans le but d’instaurer des relations de travail. Il reste entendu qu’il faudra lui remettre une note d’information au premier contact suivant l’envoi du curriculum. Il est également rappelé que l’autorisation de traitement des données personnelles figurant dans un curriculum n’est pas nécessaire, à condition qu’il ait des fins contractuelles ou pré-contractuelles.
En outre, le décret prévoit de limiter les droits garantis aux personnes concernées lorsque peut dériver de leur exercice, entre autres, une atteinte réelle et concrète (i) portée aux intérêts protégés en vertu des dispositions en matière de lutte contre le recyclage et (ii) à la protection de l’identité de l’employé qui signale l’action illicite dont il a eu connaissance dans le cadre de ses activités (ce qu’il est convenu d’appeler le « whistleblower » – le lanceur d’alerte).
Le RGPD permet aux pays de définir, sans préjuger des sanctions administratives pécuniaires prévues, d’autres sanctions « à condition qu’elles soient réelles, proportionnées et dissuasives » ainsi que « en mesure d’assurer l’application de la règlementation ». Et le décret est intervenu sur ce point en confirmant également certains types de délit figurant déjà dans la réglementation précédente. Parmi eux, à noter le traitement illicite de données, qui prévoit à présent seulement une légère réduction de la sanction maximale de 24 mois à 18 mois ou la violation des dispositions en matière de contrôles à distance et d’enquêtes sur l’opinion des travailleurs.