Da oggi (19 settembre 2018) è in vigore l’anello che mancava ancora per dare il via libera definitivo al Regolamento GDPR. Tra le principali novità, le annunciate misure di semplificazione per le PMI, i chiarimenti sulle sanzioni amministrative e penali, il periodo transitorio di 8 mesi prima di controlli e ispezioni.
Da oggi 19 settembre 2018 è in vigore l’anello che mancava ancora per dare il via libera definitivo al Regolamento GDPR. Tra le principali novità, le annunciate misure di semplificazione per le PMI, i chiarimenti sulle mi leil Decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (G.U. n. 205 del 4 settembre 2018).
Attuativo dell’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale (il D.lgs. 196 del 2003 denominato Codice Privacy) alle disposizioni del Regolamento UE n. 679 del 2016 (più noto come GDPR, acronimo di General Data Protection Regulation) che disciplina il trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, società o organizzazioni.
Il Regolamento GDPR è in vigore dallo scorso 25 maggio, ma mancava ancora questo Decreto di armonizzazione e i chiarimenti sulle sanzioni applicabili.
La riforma della privacy entrerà in vigore in maniera graduale e per le imprese è previsto un periodo transitorio di 8 mesi prima dei controlli e delle ispezioni.
“Dopo l’esame di una commissione appositamente costituita si è deciso, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di accountability – si legge nel Comunicato del Consiglio dei Ministri – Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
Non sarà un’impresa semplice, soprattutto per il titolare del trattamento, sbrogliarsi tra il Codice Privacy, modificato sostanzialmente dal Decreto, il Decreto stesso e il Regolamento GDPR.
Tra le novità più importanti, viene introdotto (art. 14 comma 8 ) un nuovo articolo (154bis) al Codice Privacy, che introduce le misure di semplificazione per le micro, piccole e medie imprese, per le quali “il Garante per la protezione dei dati […] promuove, nelle linee guida adottate […] modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
Si fa chiarezza (art. 15) riguardo alle sanzioni amministrative e penali previste in caso di violazione delle novità previste dal Regolamento GDPR.
Le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo, in relazione alle violazioni degli obblighi chiariti dal decreto di adeguamento.
Il Decreto introduce la possibilità, per alcuni provvedimenti, di pagare la sanzione in misura ridotta (2/5 del minimo) entro il termine di 90 giorni dalla data di entrata in vigore del decreto stesso; mentre per le violazioni commesse anteriormente alla data di entrata in vigore del decreto , potranno essere applicatele sanzioni amministrative previste dal Codice Privacy sostitutive delle sanzioni penali, qualora il procedimento penale non sia stato ancora definito con sentenza o decreto irrevocabili.
“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie (Art. 22, comma 13).
Quindi ci sarà più tempo per mettersi in regola e salvarsi dalle ispezioni della Guardia di Finanza. Va precisato, comunque, che alcuni adempimenti obbligatori previsti dal GDPR, come la nomina del DPO (Data Protection Officer), per i soggetti di cui all’art. 37 del Regolamento GDPR, così come i controlli sulle misure previste dall’azienda nel caso di data breach ovvero sulla tenuta del registro dei trattamenti, dovevano essere effettuati entro il 25 maggio 2018.
Altri cambiamenti riguardano:
– l’età minima per esprimere il consenso al trattamento dei dati in relazione ai servizi online (superiore ai 14 anni)
– la possibilità di comunicare i dati degli studenti universitari per favorirne l’accesso al mondo del lavoro;
– le regole per i dati relativi alle persone decedute;
– gli obblighi informativi per i fornitori di servizi di trasmissione dati.
Il Decreto ha stabilito che l’Ente unico nazionale di accreditamento (Accredia) è l’organismo di accreditamento italiano, salvo che l’Autorità Garante non decida di assumere direttamente tale ruolo: evento assai improbabile, vista la mole ingente di lavoro che gli si prospetta per l’implementazione del sistema normativo messo in atto per la protezione dei dati personali.