L’entrata in vigore del decreto legislativo di adeguamento n. 101/2018 al Codice in materia di protezione dei dati personali, avvenuto il 19 settembre 2018 ha dato vita ad un quadro normativo di non facile interpretazione in quanto a fronte di un considerevole numero di articoli che sono stati abrogati, altri sono stati invece modificati – alcuni in maniera significativa mentre altri solo in maniera residuale – altri ancora che sono stati aggiunti ex novo.
Il quadro che ne emerge pone, pertanto, problemi di coordinamento all'interprete, allo studioso e a chi è chiamato ad applicarlo.
1. Le definizioni principali restano invariate ma il legislatore ha introdotte alcune aggiunte, quali quelle riguardanti il dato genetico e il dato biometrico, che nel Codice erano ricomprese nel novero dei dati relativi alla salute.
2. Il diritto comunitario vede ampliato il proprio perimetro di applicazione arrivando a comprendere anche i trattamenti di dati personali non svolti nella Unione Europea ma, comunque, relativi all’offerta di beni o servizi a cittadini comunitari o tali da consentire il monitoraggio dei comportamenti dei cittadini della UE.
3. Viene introdotto il diritto degli interessati alla portabilità del dato, da impiegare nell’ipotesi in cui si volesse trasferire i propri dati dal un social network ad un altro. Viene, altresì, introdotto il diritto all’oblio, che consente all’interessato di decidere quali informazioni possano continuare a circolare dopo un determinato periodo di tempo. Suddetto diritto non ha valenza di diritto assoluto ma va contemperato con il rispetto degli obblighi di legge, la garanzia di esercizio della libertà di espressione e dei dati necessari alla ricerca storica.
4. Viene meno l’obbligo in capo ai titolari di notificare i trattamenti di dati personali che è sostituito da quello di nominare il Responsabile della protezione dei dati (data protection officer) per tutti i soggetti pubblici e per i privati il cui trattamento dei dati rientri nelle fattispecie di legge.
5. E’ inserito il requisito della valutazione di impatto (ciò significa che già nel momento in cui il Titolare valuta la possibilità di effettuare un trattamento, il medesimo dovrà contestualmente predisporre una valutazione d’impatto anche in ambito privacy (Privacy Impact Assessment- PIA) oltre al principio di privacy by design, che richiede la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.
6. E’ reso obbligatorio ai titolari di notificare all’Autorità competente (in Italia al Garante per la protezione dei dati personali) le violazioni dei dati personali (data breach).
7. Ulteriore elemento di novità è rappresentato dall’attribuzione al Garante di poteri anche sanzionatori e al rafforzamento della sua indipendenza, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati.