Il 4 settembre è stato pubblicato in Gazzetta Ufficiale il nuovo Decreto Privacy (D.Lgs. n. 101/2018): la legge con cui l’Italia recepisce regolamento europeo GDPR in materia di tutela dei dati personali. Il decreto, che entrerà a tutti gli effetti in vigore il 19 settembre, modifica, ma non sostituisce il Testo unico sulla privacy del 2003.

Il sistema regolatorio italiano sulla privacy, quindi, sarà composto da questi due documenti, a cui si aggiungono tutte le precedenti pronunce del Garante e le autorizzazioni generali, prolungate fino a data da destinarsi. Una giungla in cui per le aziende non è facile orientarsi.

Il nuovo decreto privacy

L’armonizzazione della legge italiana era attesa da maggio 2018, data di entrata in vigore di GDPR in tutta Europa. Su questo blog abbiamo seguito con attenzione questa fase di transizione. Perché da una parte GDPR mira a tutelare i cittadini nei confronti delle aziende (eclatante il caso Facebook). Dall’altra però rappresenta anche un adempimento non facile da applicare per le PMI, con il rischio di pesanti sanzioni.

Le sanzioni previste da GDPR

Le imprese che violano gli obblighi introdotti da GDPR (ne abbiamo già parlato in questo articolo) possono incorrere in sanzioni da 10 a 20 milioni di euro, o comprese tra il 2% e il 4% del fatturato. Inoltre il nuovo decreto privacy prevede l’applicazione di alcune fattispecie di reato del Codice Penale, come trattamento illecito, acquisizione fraudolenta, false dichiarazioni…

Nessun periodo di non-sanzionabilità

Arriviamo quindi alla cosiddetta “sospensione” delle sanzioni. L’art. 22 del nuovo decreto privacy prevede che per i primi otto mesi dalla sua entrata in vigore, il Garante per la privacy tenga conto di una “fase di prima applicazione”. Non definisce tuttavia alcun periodo di moratoria o non-sanzionabilità.

Le PMI possono comunque approfittare di questo periodo per armonizzare i nuovi obblighi coi processi aziendali. Come annunciato dal Garante infatti, i controlli inizialmente si concentreranno su aziende che gestiscono banche dati di grandi dimensioni, istituti di credito, società di telemarketing.

Semplificazione e curriculum

Il nuovo provvedimento, in ogni caso, non ignora le esigenze di semplificazione delle piccole e medie aziende. Ha affidato quindi al Garante il compito di introdurre modalità di adempimento semplificate degli obblighi previsti specificamente rivolte alle PMI.

È già nel testo del nuovo decreto privacy, invece, una norma (Art. 9) che semplifica la gestione dei dati contenuti nei curriculum vitae. In particolare, per quanto riguarda i CV inviati spontaneamente dai candidati all’azienda, l’informativa sul trattamento dei dati e l’acquisizione del consenso potrà essere consegnata dall’azienda al soggetto interessato nella prima occasione di incontro successiva alla ricezione del curriculum.

Gli obblighi previsti

Ricordiamo infine i principali obblighi che le imprese (anche PMI) sono tenute ad assolvere in base a GDPR:

  • individuare ruoli e responsabilità dei soggetti coinvolti nel trattamento (non solo interni, ma anche esterni, quali tecnici informatici, studi paghe, le software house…)
  • predisporre i registri delle attività di trattamento;
  • dotarsi di un Data Protection Officer, se si è tra i soggetti tenuti a farlo;
  • adeguare la documentazione in materia di trattamento dei dati personali
  • definire le politiche di sicurezza e di valutazione dei rischi.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Tag:, , , , , , , ,