Il GDPR, il regolamento per il rispetto della privacy, in versione italiana dà un po’ di respiro alle aziende, che ora sono molto in affanno nel cercare di rispettare le nuove regole europee sulla privacy. Il Governo infatti ha deciso per un periodo di grazia delle attività di ispezione del Garante e possibili esenzioni per le PMI.
Ci sono queste tra le novità che si leggono nel testo che il Consiglio dei Ministri ha appronato e pronto per l’approvazione. Si tratta del decreto di adeguamento della normativa italiana al Regolamento privacy noto appunto come GDPR. Le regole europee sono scattate in Italia, come nel resto della Ue, il 26 maggio ma si aspettava un decreto italiano che le “personalizzasse” per la nostra situazione. Il testo non è ancora pubblico, ma a quanto risulta vi si legge tra l’altro un periodo di “grazia “ di 8 mesi per la piena applicazione dell’attività ispettiva del garante privacy. Inoltre, le piccole e medie imprese potranno essere oggetto di provvedimenti di esenzione del Garante Privacy.
Il Garante adotterà speciali misure di garanzia per i dati particolari ( sopratutto quelli relativi alla salute) sentito il Ministero della salute. Si prevedono sanzioni fino a 10 milioni di euro per chi non fa la valutazione di impatto del trattamento dati personali. Il provvedimento conferma la permanenza in vita del codice per la protezione dei dati personali e il rafforzamento delle sanzioni penali che anzi vengono ampliate con la previsione del danno come elemento caratterizzante accanto allo scopo di profitto. Le sanzioni penali non erano previste nel regolamento europeo.
Viene anche intodotto il concetto di trattamento di dati su larga scala come elemento caratterizzante dei reati previsti dall’art 167 bis e ter del codice privacy.
Il Pubblico Ministero dovrà però chiedere lumi al garante, il quale deciderà se ci sono gli estremi del reato nel corso del procedimento penale, e questo alla luce dei principi di obbligatorietà dell’azione penale appare poco comprensibile. Prevista l’istituzione del DPO anche nel settore giudiziario, ma le autorità giurisdizionali saranno esentate dalle sanzioni previste dal regolamento privacy.
Introdotte limitazioni al trattamento dei dati in caso di whistleblowing. Mantenute le sazioni amministrative solo nel massimo nonostante la chiara indicazione della Commissione parlamentare sugli atti urgenti del governo, che aveva segnalato la necessità di introdurre anche i minimi edittali, ma il procedimento davanti al Garante sarà improntato al principio del contraddittorio in uso anche ad altre autorità. Si dispone pubblicazione dei curriculum per gli aspiranti commissari sul sito del garante e del parlamento.
Modifiche a quanto sopra sono ancora possibili prima della pubblicazione in gazzetta, ma l’orientamento del Governo sembra chiaro, nel personalizzare le regole europee: fa alcune concessioni ai tanti ritardatari dell’adeguamento al GDPR. Va detto però che quelle potrebbero valere non per tutto il Gdpr solo per i settori dove l’Italia ha potere di legiferare, come quello dell’informazione e il diritto del lavoro. “Il decreto in approvazione presenta diverse luci e alcune ombre”, nota l’avvocato Fulvio Sarzana. “La norma innanzitutto prevede la pubblicazione dei cv degli aspiranti commissari, la limitazione al trattamento dei dati per i whistleblowers al fine di proteggere le fonti. La norma è molto severa con i trattamenti di dati illeciti su larga scala come avviene nei casi di marketing selvaggio, previste sanzioni penali pesanti. I dubbi permangono sulle sanzioni amministrative che rimangono di difficile applicazione nel settore amministrativo italiano, e forte il dubbio che le stesse sanzioni possano essere annullate dai giudici. Positivo anche il tafforzamento dei principi di contraddittorio davanti al garante privacy”.
Alessandro Longo, Repubblica.it