Dando continuità ai precedenti contributi dell’11 e del 18 settembre ultimi scorsi e a conclusione della trattazione dedicata da BLB Studio Legale al decreto privacy di adeguamento della normativa nazionale al Reg. Ue 679/16, procediamo ad esaminare, senza pretesa di esaustività alcuna, le altre novità di rilievo annidate nel provvedimento in parola.

Tra queste, spicca il novellato art. 9 - ‘‘Informazioni in caso di ricezione di curriculum’’ - che sancisce l’obbligo per il titolare del trattamento, nei casi di ricezione dei curricula trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, di fornire le informazioni di cui all’art. 13 del GDPR - finalità del trattamento, dati del D.P.O., etc. - al momento del primo contatto utile successivo all’invio del CV. Non è invece dovuto il consenso al trattamento dei dati presenti nei curricula.

Altra novità di rilievo è rappresentata dal riconoscimento del diritto di accesso e di portabilità dei dati - artt. 15 e 22 GDPR - relativi alle persone decedute, in capo a chi manifesti un interesse proprio, o agisca in qualità di suo mandatario, per ragioni familiari meritevoli di protezione; l’interessato può tuttavia opporvisi presentando una dichiarazione scritta al titolare del trattamento.

Parimenti degno di nota è il novellato art 2-quinquies che prevede come il consenso al trattamento dei propri dati personali - in relazione all’offerta diretta di servizi della società di informazione - possa essere rilasciato anche dal minore che abbia compiuto i quattordici anni; per quanto invece concerne il trattamento dei dati personali del minore di età inferiore a quattordici anni, è da considerarsi lecito a condizione che sia prestato da chi ne esercita la responsabilità genitoriale.

Schiettamente processuale è invece la disposizione di cui all’art. 140 bis n.1 del nuovo codice privacy che ha previsto l’alternatività delle forme di tutela riconosciute all’interessato i cui diritti siano stati violati, potendo questi proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria.

Per quanto infine concerne la previsione di sanzioni penali - non previste direttamente dal GDPR che ha demandato agli Stati membri il compito di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR, nonché violazioni di norme nazionali adottate in virtù ed entro i limiti del regolamento (Considerando 149) -, il decreto di adeguamento ha modificato diverse fattispecie incriminatrici già previste dal Codice Privacy, introducendone di nuove.

Ai sensi del novellato codice, le fattispecie penalmente rilevanti sono rappresentate da: ‘‘Trattamento illecito dei dati’’ ex art. 167, ‘‘Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala’’ ex art. 167-bis, ‘‘Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala’’ ex art. 167-ter, ‘‘Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante’’ ex art. 168, ‘‘Inosservanza dei provvedimenti del Garante ex art. 170’’.

Rimandando al testo del decreto attuativo per i dettagli, si registra da ultimo la pubblicazione sul sito web istituzionale del Garante Privacy del ‘‘testo coordinato del Codice adeguato al Regolamento’’, che indica per ciascuna disposizione del vecchio Codice privacy quelle da ritenersi abrogate o modificate. Per forza di cose, il testo coordinato pubblicato dal Garante non può essere considerato una normativa ufficiale. Invero, nelle note per la lettura del testo poste in premessa, il Garante avverte: ‘‘Il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale. Hanno valore ufficiale infatti solo i testi normativi pubblicati sulla Gazzetta Ufficiale della Repubblica Italiana’’.