NEWS

Semplificazione degli adempimenti privacy per le pmi ancora in stand-by

Per le piccole e medie imprese la semplificazione degli adempimenti privacy è ancora in stand-by. Sono ancora da scrivere le linee guida mirate per un settore vitale per l'economia italiana. Ma le Pmi dirette interessate non sono rassegnate a dover aspettare e, anzi, possono cominciare a scrivere i codici di condotta.

Pmi, semplificazione nel freezer

In effetti, sia il Regolamento Ue 2016/679 (Gdpr) sulla protezione dei dati sia il Codice della privacy preannunciano regole ad hoc per imprese di minori e medie dimensioni. Peraltro, in attesa che le misure siano effettivamente adottate, le Pmi devono assolvere agli obblighi previsti dalle norme. E si tratta di norme che valgono per piccoli esercizi commerciali come per imprese multinazionali.

Questo significa che le Pmi, pur non avendo gli stessi livelli di fatturato e redditività, devono realizzare gli stessi adempimenti delle grandi imprese e sono sanzionate se non osservano questi obblighi.

E magari si tratta di obblighi che saranno ridimensionati da futuri provvedimenti di semplificazione. Logica vorrebbe, però, che l'obbligo o il divieto, magari in versione semplificata, sia specificato prima della contestazione di violazioni. Eppure, sulla carta, sono numerose le disposizioni di favore per le imprese medie e piccole. Vediamo quali sono.

Codice della Privacy. L'articolo 154-bis del Codice della privacy affida al Garante della privacy uno speciale potere. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, prescrive il comma 4 dell'articolo 154-bis citato, il Garante per la protezione dei dati personali promuove, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche per singoli settori, modalità semplificate di adempimento degli obblighi per le Pmi.

In materia di registri del trattamento lo stesso regolamento Ue, all'articolo 30, prevede una limitata deroga per le organizzazioni che hanno meno di 250 dipendenti (che non vale se si trattano dati sensibili e particolari). Allo stato attuale, per esempio, sul sito del Garante della privacy si possono trovare i modelli di «registro semplificato» delle attività di trattamento per le Pmi.

Inoltre, si ha notizia del fatto che il Garante ha promosso un processo finalizzato allo sviluppo di uno strumento di auto-valutazione che aiuti le Pmi nell'adeguamento agli adempimenti previsti dalla normativa in materia di protezione dati.

Peraltro, si è in attesa delle Linee Guida settoriali, con le specifiche per le imprese di minori dimensioni.

Sanzioni. Il «considerando» n. 148 al Gdpr prevede che può essere rivolto un ammonimento anziché imposta una sanzione pecuniaria in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica. Si ritiene che la stessa misura debba essere applicata alle piccole imprese, che molto spesso coincidono con il titolare. Si prendano per esempio le imprese individuali, le quali sono imprese, ma non sono altro che l'espressione economica della persona fisica.

Codici di condotta. I codici di condotta sono una specie di autoregolamentazione della privacy in un determinato settore. Il «considerando» 98 del Gdpr prevede che la stesura di codici di condotta deve essere incoraggiata, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese. In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche.

La palla, qui, passa alle associazioni di categoria, chiamate a prendere l'iniziativa per arrivare a una disciplina di dettaglio condivisa.

Fonte: Italia Oggi Sette del 2 marzo 2021

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Intercettazioni inutilizzabili se mancano i verbali
Next Corte di giustizia Ue: accesso a tutte le comunicazioni elettroniche giustificato solo dalla lotta al crimine organizzato

Arezzo TV, lo speciale dedicato al Privacy Day Forum 2024

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy