Il 4 settembre è stato pubblicato in Gazzetta Ufficiale il nuovo Decreto Privacy (D.Lgs. n. 101/2018): la legge con cui l’Italia recepisce regolamento europeo GDPR in materia di tutela dei dati personali. Il decreto, che entrerà a tutti gli effetti in vigore il 19 settembre, modifica, ma non sostituisce il Testo unico sulla privacy del 2003.
Il sistema regolatorio italiano sulla privacy, quindi, sarà composto da questi due documenti, a cui si aggiungono tutte le precedenti pronunce del Garante e le autorizzazioni generali, prolungate fino a data da destinarsi. Una giungla in cui per le aziende non è facile orientarsi.
L’armonizzazione della legge italiana era attesa da maggio 2018, data di entrata in vigore di GDPR in tutta Europa. Su questo blog abbiamo seguito con attenzione questa fase di transizione. Perché da una parte GDPR mira a tutelare i cittadini nei confronti delle aziende (eclatante il caso Facebook). Dall’altra però rappresenta anche un adempimento non facile da applicare per le PMI, con il rischio di pesanti sanzioni.
Le imprese che violano gli obblighi introdotti da GDPR (ne abbiamo già parlato in questo articolo) possono incorrere in sanzioni da 10 a 20 milioni di euro, o comprese tra il 2% e il 4% del fatturato. Inoltre il nuovo decreto privacy prevede l’applicazione di alcune fattispecie di reato del Codice Penale, come trattamento illecito, acquisizione fraudolenta, false dichiarazioni...
Arriviamo quindi alla cosiddetta “sospensione” delle sanzioni. L’art. 22 del nuovo decreto privacy prevede che per i primi otto mesi dalla sua entrata in vigore, il Garante per la privacy tenga conto di una “fase di prima applicazione”. Non definisce tuttavia alcun periodo di moratoria o non-sanzionabilità.
Le PMI possono comunque approfittare di questo periodo per armonizzare i nuovi obblighi coi processi aziendali. Come annunciato dal Garante infatti, i controlli inizialmente si concentreranno su aziende che gestiscono banche dati di grandi dimensioni, istituti di credito, società di telemarketing.
Il nuovo provvedimento, in ogni caso, non ignora le esigenze di semplificazione delle piccole e medie aziende. Ha affidato quindi al Garante il compito di introdurre modalità di adempimento semplificate degli obblighi previsti specificamente rivolte alle PMI.
È già nel testo del nuovo decreto privacy, invece, una norma (Art. 9) che semplifica la gestione dei dati contenuti nei curriculum vitae. In particolare, per quanto riguarda i CV inviati spontaneamente dai candidati all’azienda, l’informativa sul trattamento dei dati e l’acquisizione del consenso potrà essere consegnata dall’azienda al soggetto interessato nella prima occasione di incontro successiva alla ricezione del curriculum.
Ricordiamo infine i principali obblighi che le imprese (anche PMI) sono tenute ad assolvere in base a GDPR:
Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.