Con l’entrata in vigore del Decreto legislativo 101/2018, il 19 settembre 2018 è scattata l’ora per tutte le aziende italiane di allinearsi definitivamente alla normativa sulla protezione dei dati personali.
Il nuovo decreto legislativo integra quanto previsto dalla precedente normativa europea, perciò chi avesse già provveduto in precedenza ad adeguarsi al G.D.P.R. (ovvero il Regolamento generale sulla protezione dei dati, ufficialmente Regolamento n. 2016/679) non dovrà affrontare grandi cambiamenti, perché il nuovo decreto legislativo va solo ad integrare il quadro giuridico italiano con alcune prescrizioni aggiuntive, armonizzando il testo del nostro Codice Privacy con quello del Regolamento Europeo.
Ciò però non rende la normativa meno vincolante anzi: i controlli sulle aziende promettono di farsi sempre più serrati e le sanzioni sempre più alte, tenuti in debita considerazione i dati per cui il 65% delle aziende italiane non si sono ancora adeguate al G.D.P.R.
Chi si è mosso in tempo per arrivare conformi al 25 maggio 2018?
Poche, pochissime imprese: si parla di migliaia di attività non solo in piena regola con la normativa sulla privacy, ma che che non hanno ancora compiuto nemmeno ad adempimenti basilari, ad esempio:
- Nomina principali figure richieste dal GDPR (primo tra tutti il Responsabile della protezione dati);
- stilare apposita documentazione per tutti coloro che si occupano di gestione e trattamento di dati personali per la loro impresa (clienti, fornitori, dipendenti);
- stesura di un’informativa chiara, concisa e trasparente, che permetta agli utenti di esprimere il proprio consenso in modo libero e consapevole.
Fonte primaria in materia di privacy rimane il Regolamento Europeo 2016/679, anche se in diversi ambiti rimanda alle leggi nazionali e lascia a ogni stato membro dell’UE la facoltà di adottare liberamente dei provvedimenti purché compatibili con il testo: in questo scenario si inserisce in Italia il Dlgs 10/2018.
A che cosa serve il Decreto 101/2018?
La sua funzione principale è attualizzare il Codice privacy italiano preesistente secondo quanto introdotto dal Regolamento europeo.
Al G.D.P.R. è stato assegnato il compito di controllo e sorveglianza sui provvedimenti messi in atto dai vari Stati membri dell’UE, nell’attesa che si conformassero alla normativa sulla privacy; la pubblicazione del Dlgs 101/2018 sulla Gazzetta ufficiale è ora l’ultima conferma, se ancora ce ne fosse bisogno, che non vi saranno ulteriori proroghe all’applicazione delle pesanti sanzioni previste dal G.D.P.R.
Il secondo semestre del 2018 ha infatti dato il via a una serie di controlli che l’Autorità ha programmato secondo un piano accurato di attività ispettive: le aziende e gli enti che saranno trovati inadempienti al Regolamento UE saranno soggetti a sanzioni, non solo pecuniarie ma anche penali, come per il trattamento illecito di dati, che viene punito con la reclusione fino a 18 mesi; sono previste pene detentive anche per chi dichiara il falso al Garante per la Privacy, non ne rispetta i provvedimenti, o ancora interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell’Autorità.
Per le piccole realtà imprenditoriali il Garante dovrà mettere a punto delle linee guida “ad hoc” per modalità di adeguamento semplificate ma senza esoneri o deroghe.
Il Dlgs 101/2018 prevede un quadro sanzionatorio molto complesso ed enti e imprese italiane faranno bene ad attuare tutte le misure di sicurezza richieste dalla normativa e a svolgere attenti controlli sulla liceità dei trattamenti da loro effettuati attenendosi scrupolosamente alle finalità per le quali i dati sono stati raccolti, monitorando regolarmente il perimetro dei trattamenti con una particolare attenzione per tutti i contratti di servizi di fornitori che hanno un impatto sui dati personali e per evitare involontari trasferimenti di dati all’estero.
Per fare questo occorrerà dotarsi di una “task force” interna, o in alternativa avvalersi di supporto di professionisti esterni dovutamente qualificati.
