Nella Gazzetta Ufficiale del 4 settembre è stato pubblicato il decreto legislativo 10 agosto 2018, n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (GDPR) che entrerà in vigore il prossimo 19 settembre.
Il provvedimento ha subito importanti modifiche rispetto al testo originario recependo alcune significative richieste di Confartigianato, avanzate in occasione dell’audizione parlamentare del 31 maggio e sollecitate anche con interventi a livello europeo.
Due i principali risultati ottenuti:
– la semplificazione per le MPMI;
– il riconoscimento del c.d. “periodo di grazia”.
Per quanto concerne il primo punto, il decreto attribuisce al Garante italiano un nuovo potere, quello di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, che – in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese – prevedano modalità semplificate di adempimento.
Le linee guida dovranno ovviamente rispettare sia il Regolamento sia il nuovo Codice, ma potranno consentire di individuare un ampio numero di imprese che per attività svolta, organizzazione aziendale, dati e modalità di trattamento possono adeguarsi al GDPR con oneri minimi, come proposto dalla Confartigianato. Importante anche il riconoscimento del “periodo di grazia”. Fino al 19 maggio 2019 il Garante dovrà, infatti, tenere conto, nell’applicare le sanzioni amministrative, della fase di prima applicazione delle disposizioni sanzionatorie.
Vengono, così, riconosciute le ragioni delle micro e piccole imprese che – sempre agendo in buona fede – potranno beneficiare di ulteriori otto mesi per adeguarsi completamente al GDPR, considerando il forte ritardo con cui lo Stato ha modificato la propria normativa. Nel merito, il decreto modifica profondamente, ma non abroga, il Codice italiano privacy (d.lgs. n. 196/03) che rimane pertanto il riferimento per la disciplina italiana in materia.
Tale scelta non facilita l’immediata comprensione della disciplina da applicare alle imprese facendo riferimento sia alla normativa europea sia a quella nazionale.
Occorre, inoltre, effettuare una lettura coordinata del Codice con il decreto appena pubblicato, tenendo ben presente che – come specificato agli articoli 1 e 2 del Codice – il trattamento dei dati personali deve avvenire secondo le norme del GDPR e del Codice stesso, che tuttavia non sono giuridicamente sullo stesso piano. L’interpretazione del Codice dovrà, pertanto, essere coerente con il Regolamento, non essendo ammissibili orientamenti in contrasto con la disciplina europea.
Peraltro, molti aspetti qualificanti nel decreto consistono in un rimando ad atti successivi del Garante – c.d. soft law – che entreranno nello specifico di alcuni trattamenti (per quanto di interesse: trattamenti di dati sanitari e rapporti di lavoro in primis). Il Garante, infatti, dovrà emanare regole deontologiche, linee guida, misure di garanzia ed effettuare la ricognizione dei propri provvedimenti emanati anteriormente al GDPR.
Ad una prima analisi il provvedimento non impatterà ulteriormente in maniera decisiva sull’attività delle imprese (salvo i suddetti trattamenti specifici). Andrà monitorata con attenzione l’attività di soft law del Garante onde evitare che vengano introdotti per tale via oneri ed appesantimenti in contrasto con il Regolamento (ed il principio di accountability) ed il principio di semplificazione per le PMI appena riconosciuto.
