Protezione dati, pmi in attesa Il cantiere è ancora aperto

Manca all’appello la semplificazione degli adempimenti del regolamento Ue n. 2016/679

Pagine a cura di Antonio Ciccia Messina
Piccole e medie imprese in attesa della semplificazione degli adempimenti previsti dal regolamento Ue n. 2016/679, operativo dal 25 maggio 2018, sulla protezione dei dati personali. Lo scivolo «privacy» è previsto dal decreto legislativo 10 agosto 2018, che armonizza l’ordinamento italiano alla normativa europea sulla protezione dei dati. E si tratta di una manovra semplificatoria di cui si sente particolarmente il bisogno, considerato che non è facile ricostruire i singoli adempimenti, alla luce di una pluralità di norme, di diverso livello e natura, molte delle quali devono ancora essere scritte. Siamo, infatti, passati da un regime tendenzialmente unificato nella fonte normativa a un sistema di numerosi fonti. Dal codice della privacy (dlgs 196/2003), che era la fonte principale, ora imprese, professionisti, pubbliche amministrazioni devono fare i conti con il regolamento Ue 2016/679, con il codice della privacy modificato dal decreto legislativo 10 agosto 2018, con il decreto legislativo 10 agosto 2018 stesso nelle parti di autonoma regolamentazione, con le altre leggi di settore. E non basta. Il cantiere privacy, peraltro, è in piena attività. I lavori in corso riguardano regole deontologiche, linee di indirizzo, provvedimenti contenenti misure di garanzia, attività di setaccio di autorizzazioni generali e codici di deontologia e buona condotta da cui scaturiranno provvedimenti di conferma delle parti compatibili con il regolamento Ue.

La grande parte dell’attività vede onerato e protagonista il Garante della privacy, cui il decreto legislativo 10 agosto 2018 assegna una mole enorme di compiti: la promozione di regole deontologiche in settori delicatissimi (dai rapporti di lavoro alla ricerca scientifica, ai trattamenti delle pubbliche amministrazioni); la cernita delle autorizzazioni generali per il trattamento dei dati sensibili da adeguare nel nuovo panorama della disciplina dei cosiddetti dati appartenenti a «particolari categorie»; la verifica della compatibilità di alcuni dei codici di deontologia, ora allegati al codice della privacy, come quelli per avvocati e investigatori privati e quelli sulle informazioni commerciali; la scrittura delle misure di garanzia per i trattamenti di dati sanitari, genetici e biometrici. Sempre sul Garante grava l’onere di scrivere le norme regolamentari di procedura per il settore dei reclami e delle sanzioni. Ma soprattutto si segnala la norma che prelude alla definizione delle semplificazioni per le piccole e medie imprese. La norma in questione dice che, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali promuove, con lo strumento delle linee guida, modalità semplificate di adempimento degli obblighi del titolare del trattamento. Gli operatori compresi nel settore delle piccole e medie imprese (la definizione europea riguarda i soggetti con meno di 250 dipendenti e con giro di affari fino a 50 milioni di euro) rappresentano realtà economiche significative nel tessuto economico italiano. La disposizione apre, dunque, la strada a semplificazioni a tappeto, riguardanti tutti gli obblighi del titolare del trattamento. Per come è scritta, la norma ha una portata amplissima. Le semplificazioni possono riguardare le misure tecniche e organizzative, gli adempimenti relativi alle misure di sicurezza e gli adempimenti relativi alle violazioni di sicurezza, oppure la valutazione di impatto privacy. In astratto la semplificazione potrebbe toccare anche i registri del trattamento e la nomina del responsabile della protezione dei dati. Ci sono obblighi del titolare che riguardano, poi, il trasferimento dei dati fuori dallo spazio economico europeo: anche questo è terreno che potrà essere solcato dalle semplificazioni.

Attenzione, peraltro, al fattore tempo. Alla data del 25 maggio 2018 gli obblighi del titolare del trattamento, previsti dal Regolamento Ue 2016/679, sono diventati operativi in tutta la loro consistenza e portata, senza distinzioni relative alla dimensione del titolare del trattamento (salvo alcune ipotesi eccezionali, come i registri del trattamento). Una diligente pmi dovrebbe provvedere già ora ad adempimenti nella versione «pesante», anche alla luce delle sanzioni amministrative, pesantissime, previste dall’articolo 83 del Regolamento Ue. Ma anche, a riguardo delle sanzioni si attende la disciplina regolamentare del garante della privacy.
© Riproduzione riservata

Fonte:
logoitalia oggi7