NEWS

Anche il Dlgs 101/2018 è in vigore, ma due aziende su tre non sono ancora adeguate

Con l'entrata in vigore del Dlgs 101/2018, dal 19 settembre 2018 aziende ed enti non hanno più alibi per non essere allineati alla normativa sulla protezione dei dati personali. Anche se in linea di principio non cambia molto per chi in precedenza si era già attivato per adeguarsi al GDPR, in quanto il nuovo decreto legislativo va solo ad integrare il quadro giuridico italiano con alcune prescrizioni aggiuntive armonizzando il testo del nostro Codice Privacy con quello del Regolamento Europeo, nella realtà dei fatti, alcuni recenti studi hanno però evidenziato che il 65% delle aziende non si sono ancora adeguate.


Infatti, ad eccezione delle grandi imprese che erano partite da tempo per arrivare conformi entro il 25 maggio 2018, basta sbirciare nei siti di molte pmi e pubbliche amministrazioni per comprendere che sono ancora migliaia quelle che non hanno provveduto ad adempiere neppure ad adempimenti basilari, omettendo spesso la pubblicazione dei dati di contatto del Responsabile della Protezione dei Dati, e in molti casi mancando persino di fornire un'idonea informativa scritta in maniera concisa e trasparente con un linguaggio facilmente comprensibile per gli utenti con dei meccanismi che permettano loro di esprimere il loro consenso in modo libero e consapevole, come previsto dal Regolamento UE.

Verosimilmente, non avendo più scuse molte aziende devono quindi rimboccarsi le maniche e correre in fretta ai ripari per evitare pesanti sanzioni da parte dell'Autorità Garante.

Anche se in diversi ambiti il GDPR rimanda al diritto e alle leggi nazionali, e lascia ad ogni singolo stato membro la facoltà di adottare prescrizioni o misure aggiuntive che siano compatibili con il testo europeo, e in Italia è per questo stato emanato il Dlgs 101/2018, occorre sempre ricordare che il Regolamento UE 2016/679 rimane la fonte primaria della protezione dei dati personali dell'Unione Europea.

Di conseguenza, anche se questo nuovo decreto rimodella ed abroga in molte parti il nostro Codice Privacy, la sua principale funzione è quella di attualizzarlo alla luce del Regolamento UE. In modo analogo, durante la fase transitoria è assegnato al Garante il compito di verificare i vecchi codici di condotta e le vecchie autorizzazioni, provvedendo a sostituirli con nuove regole deontologiche, provvedimenti generali, e specifiche misure di garanzia, affinché anche tutta la cosiddetta "soft-law" prodotta dall'Autorità italiana sia resa pienamente compatibile con il GDPR.

Per chi era rimasto a guardare alla finestra anche dopo il 25 maggio, la pubblicazione del Dlgs 101/2018 in Gazzetta Ufficiale ha spento ogni speranza di poter vedere qualche moratoria o almeno qualche proroga all'applicazione delle pesanti sanzioni previste dal GDPR.

Anche se il Parlamento aveva chiesto un vero e proprio "periodo di grazia" che prevedesse anche una temporanea sospensione delle ispezioni del Garante, secondo i trattati internazionali non è di fatto giuridicamente possibile derogare ad un regolamento emanato dall'Unione Europea, e dal 25 maggio 2018 le sanzioni del GDPR sono pienamente in vigore e direttamente applicabili in Italia come in ogni altro Stato membro.
Tuttavia, per quello che è stato possibile il Legislatore è andato incontro alle richieste della politica, e nel decreto è stato previsto un periodo di otto mesi in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende ritardatarie.

D'altra parte, l'Autorità ha regolarmente varato un piano di attività ispettive per il secondo semestre del 2018, e aziende ed enti che saranno trovati inadempienti al Regolamento UE non saranno affatto esenti dalle multe pecuniarie, anzi adesso rischieranno pure la galera.

Quella di poter stabilire ulteriori sanzioni, era infatti una delle facoltà data agli Stati membri con particolare riguardo alle violazioni che non sono già soggette a multe pecuniarie ai sensi dell'art. 83 del GDPR, e il Legislatore italiano ha previsto una serie di sanzioni penali, tra le quali quelle per il trattamento illecito, che viene punito con la reclusione fino a 18 mesi.

Rischia invece fino a tre anni di carcere chi trasferisce illecitamente dati personali all'estero, e pene analoghe sono riservate a coloro che commettono violazioni riguardanti i trattamenti dei cosiddetti "dati sensibili" di cui all'art. 9 del Regolamento, o per violazioni delle misure e gli accorgimenti imposti dal Garante per trattamenti che presentano rischi elevati per l'esecuzione di un compito di interesse pubblico, nei casi in cui ricorra il dolo e venga arrecato un danno all'interessato.

Viene introdotto anche il reato di "acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala", punito con la reclusione fino a quattro anni, e rischia addirittura fino a sei anni di carcere chi comunica o diffonde illecitamente banche dati che sono oggetto di trattamento su larga scala.

Sono inoltre previste pene detentive anche per chi dichiara il falso al Garante, non ne rispetta i provvedimenti, o di chi interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell'Autorità.

E' vero che il Garante potrà mettere a punto delle linee guida "ad hoc" per fissare modalità di adeguamento semplificate per le micro, piccole e medie imprese, ma anche in questo caso è opportuno non farsi illusioni perché non potranno derivarne esoneri o deroghe, in quanto ciò andrebbe in contrasto con il GDPR.

L'Autorità potrà piuttosto dare indicazioni che potranno aiutare le piccole realtà a comprendere più facilmente quali sono gli adempimenti che si applicano a loro per poterne rispettare gli obblighi, e laddove possibile individuare delle forme semplificate, sempre e comunque nel pieno rispetto di tutti i princìpi del Regolamento UE.

Considerato come è stato strutturato l'apparato sanzionatorio penale con il Dlgs 101/2018, emerge un quadro normativo estremamente complesso, ed enti ed imprese faranno bene a non limitarsi solamente ad adottare misure di sicurezza per proteggere i dati personali, ma dovranno anche svolgere costantemente attività di due diligence, valutando scrupolosamente la liceità dei trattamenti che intendono effettuare, attenersi strettamente alle finalità per le quali i dati sono stati raccolti, monitorare regolarmente il perimetro dei trattamenti con una particolare attenzione su tutti i contratti di servizi di fornitori che hanno un impatto sui dati personali per evitare involontari trasferimenti di dati all'estero, e per poter far questo efficacemente in molti casi non bastano i consigli e le attività di controllo del data protection officer, ma occorre dotarsi di una vera e propria "funzione privacy" interna, o in alternativa avvalersi di supporto di professionisti esterni dovutamente qualificati.

Fonte: Ipsoa

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev La privacy 4.0 ridisegna il sistema sanzionatorio per punire gli illeciti
Next Privacy by design e Gdpr: un’etica per l’Intelligenza artificiale

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy