Nella Gazzetta Ufficiale del 4 settembre è stato pubblicato il decreto legislativo 10 agosto 2018, n. 101, con il quale la normativa italiana viene adeguata alle disposizioni del Regolamento (UE) 2016/679 (GDPR). E la pubblicazione porta novità importanti. Perché il testo del decreto, che entrerà in vigore il prossimo 19 settembre, ha subito modifiche rispetto all’originale grazie al recepimento di alcune, significative richieste avanzate tempo fa da Confartigianato Imprese.
Due i principali risultati ottenuti dal sistema associativo:
– la semplificazione per le Mpmi affidata al Garante
– il riconoscimento del cosiddetto “periodo di grazia”
Semplificazione per micro, piccole e medie imprese
Il decreto attribuisce al Garante italiano un nuovo potere: quello di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento che, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, possano prevedere modalità semplificate di adempimento.
Il “periodo di grazia”
Fino al 19 maggio 2019 ci sarà il riconoscimento del cosiddetto “periodo di grazia”. Nell’applicare le sanzioni amministrative, in questo periodo il Garante si impegnerà a tener conto del fatto che le imprese sono in una prima fase di attuazione. Questo, però, non significa che non verranno applicate sanzioni ma solo che ci potrebbe essere da parte del Garante una maggior tolleranza.
Un Regolamento a “doppio binario”: non semplice l’adozione di normativa europea e nazionale
Entrando nel merito: il decreto modifica profondamente, ma non abroga, il Codice italiano privacy (d.lgs. n. 196/03) che continua a fare da riferimento per la disciplina italiana in materia. L’uso sia della normativa europea che di quella nazionale non aiuta a comprendere con facilità la disciplina da applicare alle imprese. Inoltre è bene ricordare che si deve effettuare una lettura coordinata del Codice con il decreto appena pubblicato, tenendo ben presente che il trattamento dei dati personali deve avvenire secondo le norme del GDPR e del Codice stesso, non posti giuridicamente sullo stesso piano. Infine, l’interpretazione del Codice dovrà essere coerente con il Regolamento, perché non sono ammissibili orientamenti contrastanti la disciplina europea.
Dal Garante si attendono altre linee guida: Confartigianato prosegue il confronto
Dall’altro lato, molti aspetti fondamentali del decreto rimanderanno ad atti successivi del Garante che entrerà nello specifico di alcuni trattamenti (ad esempio: trattamenti di dati sanitari e rapporti di lavoro in primis). Il Garante, infatti, dovrà emanare regole deontologiche, linee guida, misure di garanzia ed effettuare la ricognizione dei propri provvedimenti emanati anteriormente al GDPR. L’attività successiva del Garante andrà seguita e monitorata con particolare attenzione: da qui l’impegno di Confartigianato Imprese ad un confronto costante con l’organo di garanzia.