Martedì 4 settembre è stato pubblicato in Gazzetta Ufficiale il decreto sulla privacy per l’adeguamento al GDRP: le novità su obblighi e sanzioni

Il 4 settembre scorso è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n.101 del 10 agosto 2018 in materia di privacy, che riprende e armonizza il Regolamento europeo per il trattamento dei dati personali, o GDPR.

Naturalmente le regole sono già scattate il 24 maggio (quando il regolamento Gdpr è entrato automaticamente in vigore), ma si aspettava il decreto italiano per adeguare la normativa nazionale alle forti novità.

Alla luce di quanto sopra ci sentiamo con tutta evidenza di assicurare le aziende nostre clienti che l’adozione e l’implementazione delle documentazioni già fornite ( Decalogo, Modelli di informative, Modelli di nomina , e Modello di Registro del Trattamento ) assicurano la piena conformità al GDPR , mentre dopo la pubblicazione in GU del decreto attuativo forniremo nel più breve tempo possibile il Manuale del Sistema di Gestione Data Protection  aziendale a completamento delle procedure.

Il testo riporta alcune novità in merito agli obblighi e alle sanzioni in caso di violazione dei dati personali, nonché alcune misure di semplificazione per le micro, piccole e medie imprese.

Una delle novità del decreto è che prova comunque a dare un po’ di respiro alle aziende. Dice tra l’altro che il Garante in questi primi otto mesi, nell’erogare le sanzioni, “tiene conto del fatto che siamo in una fase iniziale di attuazione” fase che terminerà definitivamente il 25 Gennaio 2019. Ossia per ora si eviterà di essere troppo punitivi verso le aziende ritardatarie. Si eserciterà una certa gradualità. Per aiutare la vita delle PMI, un’altra delle novità del decreto è che si chiede al Garante Privacy di promuovere linee guida per fissare modalità di adeguamento semplificate ad hoc per loro.

In sintesi ecco le principali novità nel decreto legislativo riguardano gli obblighi del titolare del trattamento e le sanzioni, amministrative e penali, in caso di violazione della privacy.

Cominciando dagli obblighi, il testo introduce alcune regole che comprendono i curriculum, le persone decedute e i minori :

  • Nei casi di ricezione di curriculum, il decreto legislativo specifica che le informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO) dovranno essere fornite alla persona interessata al momento del primo contatto successivo all’invio del Cv.
  • Per quanto riguarda invece i dati relativi alle persone decedute, i diritti di accesso e di portabilità dei dati (articoli 15 e 22 del GDPR), essi potranno essere ereditati da chi ha un interesse proprio, da chi agisce in qualità di mandatario o per ragioni familiari meritevoli di protezione.
  • Infine, per i minori di quattordici anni, il consenso al trattamento dei dati personali dovrà essere esercitato da chi ne esercita la responsabilità genitoriale.

In merito alle sanzioni particolare rilevanza assumono i chiarimenti sulle sanzioni penali:

  • In caso di trattamento illecito dei dati personali, il testo prevede la reclusione da sei mesi a un anno e sei mesi.
  • Reclusione da uno a tre anni invece in caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti.
  • È previsto l’arresto anche in caso di false dichiarazioni o di inosservanza dei provvedimenti dell’Autorità.

Chiari invece i rischi sulle sanzioni amministrative: le imprese che violano gli obblighi specificati dal decreto sulla privacy rischiano di essere assoggettate a multe che vanno da 10 milioni a 20 milioni di euro o che sono ricomprese tra il 2% e il 4% del fatturato mondiale annuo.

In entrambi i casi comunque spetta al Garante adottare i provvedimenti correttivi o le sanzioni previste dall’articolo 83 del GDPR.

L’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di apposito reclamo o ad autonoma iniziativa dell’Autorità, nonché a seguito di accessi o ispezioni della Guardia di Finanza. Tuttavia, l’impresa potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro il termine di trenta giorni.

Il decreto legislativo entrerà in vigore il 19 settembre 2018 , e restiamo in attesa  delle linee guida per le PMI.

Ecco il testo pubblicato in G.U.  http://www.gazzettaufficiale.it/eli/gu/2018/09/04/205/sg/pdf