Semplificazione degli adempimenti privacy per le pmi ancora in stand-by
Per le piccole e medie imprese la semplificazione degli adempimenti privacy è ancora in stand-by. Sono ancora da scrivere le linee guida mirate per un settore vitale per l'economia italiana. Ma le Pmi dirette interessate non sono rassegnate a dover aspettare e, anzi, possono cominciare a scrivere i codici di condotta.
In effetti, sia il Regolamento Ue 2016/679 (Gdpr) sulla protezione dei dati sia il Codice della privacy preannunciano regole ad hoc per imprese di minori e medie dimensioni. Peraltro, in attesa che le misure siano effettivamente adottate, le Pmi devono assolvere agli obblighi previsti dalle norme. E si tratta di norme che valgono per piccoli esercizi commerciali come per imprese multinazionali.
Questo significa che le Pmi, pur non avendo gli stessi livelli di fatturato e redditività, devono realizzare gli stessi adempimenti delle grandi imprese e sono sanzionate se non osservano questi obblighi.
E magari si tratta di obblighi che saranno ridimensionati da futuri provvedimenti di semplificazione. Logica vorrebbe, però, che l'obbligo o il divieto, magari in versione semplificata, sia specificato prima della contestazione di violazioni. Eppure, sulla carta, sono numerose le disposizioni di favore per le imprese medie e piccole. Vediamo quali sono.
Codice della Privacy. L'articolo 154-bis del Codice della privacy affida al Garante della privacy uno speciale potere. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, prescrive il comma 4 dell'articolo 154-bis citato, il Garante per la protezione dei dati personali promuove, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche per singoli settori, modalità semplificate di adempimento degli obblighi per le Pmi.
In materia di registri del trattamento lo stesso regolamento Ue, all'articolo 30, prevede una limitata deroga per le organizzazioni che hanno meno di 250 dipendenti (che non vale se si trattano dati sensibili e particolari). Allo stato attuale, per esempio, sul sito del Garante della privacy si possono trovare i modelli di «registro semplificato» delle attività di trattamento per le Pmi.
Inoltre, si ha notizia del fatto che il Garante ha promosso un processo finalizzato allo sviluppo di uno strumento di auto-valutazione che aiuti le Pmi nell'adeguamento agli adempimenti previsti dalla normativa in materia di protezione dati.
Peraltro, si è in attesa delle Linee Guida settoriali, con le specifiche per le imprese di minori dimensioni.
Sanzioni. Il «considerando» n. 148 al Gdpr prevede che può essere rivolto un ammonimento anziché imposta una sanzione pecuniaria in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica. Si ritiene che la stessa misura debba essere applicata alle piccole imprese, che molto spesso coincidono con il titolare. Si prendano per esempio le imprese individuali, le quali sono imprese, ma non sono altro che l'espressione economica della persona fisica.
Codici di condotta. I codici di condotta sono una specie di autoregolamentazione della privacy in un determinato settore. Il «considerando» 98 del Gdpr prevede che la stesura di codici di condotta deve essere incoraggiata, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese. In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche.
La palla, qui, passa alle associazioni di categoria, chiamate a prendere l'iniziativa per arrivare a una disciplina di dettaglio condivisa.
Fonte: Italia Oggi Sette del 2 marzo 2021