Nuovo Codice della Privacy: adeguamento in salita.

GDPR-Regolamento-tutela-dati-personali

Cosa cambia per aziende e professionisti con il decreto di adeguamento del Codice privacy?

In linea di principio non cambia molto per aziende e professionisti che in precedenza si erano già attivati per adeguarsi al GDPR, in quanto il D.Lgs. n. 101/2018 va solo ad integrare il quadro giuridico italiano della normativa sulla protezione dei dati con alcune prescrizioni aggiuntive, armonizzando il testo del nostro Codice Privacy con quello del Regolamento europeo. Nella realtà dei fatti, alcuni studi condotti recentemente hanno però evidenziato che il 65% delle aziende non si sono ancora adeguate, e ad eccezione delle grandi imprese che erano partite da tempo per arrivare conformi entro lo scorso 25 maggio; basta, infatti, sbirciare nei siti di molte PMI e di Pubbliche amministrazioni per comprendere che sono ancora migliaia quelle che non hanno provveduto ad adempiere neppure ad adempimenti basilari, omettendo spesso la pubblicazione dei dati di contatto del Responsabile della protezione dei dati. In molti casi, poi, non è stata mai fornita un’idonea informativa scritta in maniera concisa e trasparente con un linguaggio facilmente comprensibile per gli utenti con dei meccanismi che permettano loro di esprimere il loro consenso in modo libero e consapevole, come previsto dal Regolamento UE. Verosimilmente, molte aziende e professionisti devono quindi rimboccarsi le maniche e correre ai ripari per evitare pesanti sanzioni da parte dell’Autorità Garante.

Come si coordinano le norme del GDPR con il nuovo Codice Privacy?

In diversi ambiti il GDPR rimanda al diritto e alle leggi nazionali, e lascia ad ogni singolo Stato membro la facoltà di adottare prescrizioni o misure aggiuntive che siano compatibili con il testo europeo, il quale rimane sempre la fonte primaria della protezione dei dati personali dell’UE. Di conseguenza, anche se il D.Lgs. n. 101/2018 rimodella ed abroga in molte parti il nostro Codice Privacy, la sua principale funzione è quella di attualizzarlo alla luce del Regolamento UE. In modo analogo, durante la fase transitoria è assegnato al Garante il compito di verificare i vecchi codici di condotta e le vecchie autorizzazioni, provvedendo a sostituirli con nuove regole deontologiche, provvedimenti generali e specifiche misure di garanzia, affinché anche tutta la cosiddetta “soft-law” prodotta dall’Autorità italiana sia resa pienamente compatibile con il GDPR.

Il nuovo codice della privacy ha realmente prorogato l’applicazione delle sanzioni del GDPR?

Anche se il Parlamento aveva chiesto un vero e proprio “periodo di grazia” che prevedesse anche una temporanea sospensione delle ispezioni del Garante, secondo i trattati internazionali non è di fatto giuridicamente possibile derogare ad un regolamento emanato dall’Unione europea, e dal 25 maggio 2018 le sanzioni del GDPR sono pienamente in vigore e direttamente applicabili in Italia come in ogni altro Stato membro. Tuttavia, per quello che è stato possibile il Legislatore è andato incontro alle richieste della politica, e nel decreto è stato previsto un periodo di otto mesi in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende ritardatarie. D’altra parte, l’Autorità ha regolarmente varato un piano di attività ispettive per il secondo semestre, e aziende ed enti che saranno trovati inadempienti al Regolamento UE non saranno affatto esenti dalle multe.

Il sistema penale privacy è stato arricchito con nuove ipotesi di reato. Quali sono i rischi che potrebbero correre imprese e professionisti?

Quella di poter stabilire ulteriori sanzioni è una delle facoltà che viene data agli Stati membri con particolare riguardo alle violazioni che non sono già soggette a multe pecuniarie ai sensi dell’art. 83 del GDPR; e il Legislatore italiano ha previsto una serie di sanzioni penali, tra le quali quelle per il trattamento illecito, che viene punito con la reclusione fino a 18 mesi. Rischia, invece, fino a tre anni di carcere chi trasferisce illecitamente dati personali all’estero, e pene analoghe sono riservate a coloro che commettono violazioni riguardanti i trattamenti dei cosiddetti “dati sensibili” di cui all’art. 9 del Regolamento, o per violazioni delle misure e gli accorgimenti imposti dal Garante per trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico, nei casi in cui ricorra il dolo e venga arrecato un danno all’interessato. Viene introdotto anche il reato di “acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, punito con la reclusione fino a quattro anni, e rischia addirittura fino a sei anni di carcere chi comunica o diffonde illecitamente banche dati che sono oggetto di trattamento su larga scala. Sono inoltre previste pene detentive anche per chi dichiara il falso al Garante, non ne rispetta i provvedimenti, o di chi interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell’Autorità. Considerato come è stato strutturato l’apparato sanzionatorio penale con il D.Lgs. n. 101/2018, emerge un quadro normativo estremamente complesso, ed enti ed imprese faranno bene a non limitarsi solamente ad adottare misure di sicurezza per proteggere i dati personali, ma dovranno anche svolgere costantemente attività di due diligence, valutando scrupolosamente la liceità dei trattamenti che si intendono effettuare, attenersi strettamente alle finalità per le quali i dati sono stati raccolti, monitorare regolarmente il perimetro dei trattamenti con una particolare attenzione su tutti i contratti di servizi di fornitori che hanno un impatto sui dati personali per evitare involontari trasferimenti di dati all’estero, e per poter far questo efficacemente in molti casi non bastano i consigli e le attività di controllo del data protection officer, ma occorre dotarsi di una vera e propria “funzione privacy” interna, o in alternativa avvalersi di supporto di professionisti esterni dovutamente qualificati.

Al Garante privacy è affidato il compito di promuovere modalità semplificate di adempimento degli obblighi del titolare del trattamento per le PMI. Come pensa si muoverà?

Sulla base di questo compito, il Garante potrà mettere a punto delle linee guida “ad hoc” per fissare modalità di adeguamento semplificate per le micro, piccole e medie imprese.

Ma è opportuno non farsi illusioni perché non potranno derivarne esoneri o deroghe, in quanto ciò andrebbe in contrasto con il GDPR. L’Autorità potrà piuttosto dare indicazioni che potranno aiutare le piccole realtà a comprendere più facilmente quali sono gli adempimenti che si applicano per poterne rispettare gli obblighi, e laddove possibile individuare delle forme semplificate, sempre e comunque nel pieno rispetto di tutti i princìpi del Regolamento UE.

(fonte IPSOA – Nicola Bernardì – Presidente di Federprivacy)

Questa voce è stata pubblicata in Privacy e contrassegnata con , , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...