di Luca Iovine

Il Decreto Legislativo 101/18 di armonizzazione al GDPR è entrato in vigore il 19 settembre, con alcune novità per le piccole e medie imprese e sulle sanzioni, che sono aumentate rispetto alla versione europea.  Il Codice Privacy italiano recepisce quasi integralmente le disposizioni del Regolamento: principi, basi giuridiche del trattamento, informativa e consenso.

Il Legislatore tuttavia ha deciso di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame ed eventuale aggiornamento entro 90 giorni dalla data di entrata in vigore del decreto.

Anche i codici deontologici andranno rivisti in alcuni settori (giornalismo, statistica e ricerca scientifica) coinvolgendo i soggetti interessati ed effettuando consultazione pubblica.

Per quanto riguarda le PMI, i relativi adempimenti per la privacy saranno semplificati; lo prevede il nuovo articolo 154-bis, comma 4 del Codice Privacy che attribuisce al Garante l’autorità di farlo attraverso le linee guida che saranno pubblicate nei prossimi mesi.

Non ci sono buone notizie per quanto riguarda le sanzioni poiché il legislatore italiano ha deciso di inasprirle prevedendo conseguenze penali per alcune violazioni della normativa sulla privacy, che vanno ad aggiungersi alle salatissime sanzioni amministrative indicate dal Regolamento europeo (fino a 20 milioni di euro).

Tuttavia, a fronte di un sistema sanzionatorio amministrativo particolarmente rigoroso, alcuni giuristi hanno già evidenziato possibili profili di violazione del divieto di “ne bis in idem” in base al quale non è possibile essere sanzionati due volte per la medesima condotta. Staremo a vedere dunque gli sviluppi anche se ai sensi dell’art. 22 del d.lgs 101/2018, “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE), della fase di prima applicazione delle disposizioni sanzionatorie”.

Questo dal punto di vista giuridico; dal punto di vista organizzativo la privacy, comunque già obbligatoria dal 25 maggio, è un adempimento non più procrastinabile che può tuttavia costituire occasione di crescita per le PMI italiane. Con esso infatti si statuisce l’obbligatorietà del risk management come principio di gestione nel trattamento dei dati. Non si tratta di una novità poiché la gestione dei rischi pervade anche altre norme ed altre aree di interesse delle aziende (HACCP, Sicurezza del lavoro), ma costituisce un rafforzamento della necessità di cambiare la cultura gestionale delle imprese. Con il nuovo codice della privacy ogni imprenditore, professionista, titolare di partita IVA, dovrà dotarsi, a seguito di una esaustiva analisi dei rischi, di una “politica della privacy” adeguata alle potenziali minacce riscontrate. A tutela dei cittadini, in base al principio di Accountability (artt. n.4, 24, 27, 28, 29 GDPR) o “Responsabilizzazione”, i titolari di partita IVA dovranno necessariamente pianificare adeguate misure di prevenzione (privacy by design e privacy by default, art. 25); tra queste rientra la formazione e la sensibilizzazione dei lavoratori (art. 29 del GDPR) che operano all’interno della propria impresa o del proprio studio. Molto importante, inoltre, è l’ambito della cyber sicurezza, altra area critica per le PMI italiane, specie nella tecnologia mobile (tablet e telefonini) che grazie al cloud è protagonista nella gestione delle informazioni. La nuova norma sulla privacy non va affrontata, dunque, esclusivamente come un ostacolo burocratico da superare, perché può aiutare a migliorare la gestione dei dati e le proprie procedure di gestione interna: e questo può vuol dire apportare vantaggi significativi in termini di creazione del valore per le aziende che affronteranno la questione in maniera adeguata.