Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 101/2018, che adegua il Codice della Privacy alle disposizioni introdotte dal GDPR 2016/679 (General Data Protection Regulation) dell’Unione Europea in merito al trattamento, alla tutela e alla libera circolazione dei dati personali. Il Provvedimento, ribattezzato come “decreto di adeguamento”, volto ad armonizzare il Codice della Privacy alla normativa europea divenuta pienamente operativa a partire dal 25 maggio scorso, entrerà in vigore il 19 settembre 2018.
Il Provvedimento prevede che il Garante della privacy definisca modalità semplificate di adempimento degli obblighi del titolare del trattamento per quanto riguarda le micro, piccole e medie imprese.
GDPR e Codice della Privacy
Contrariamente a quanto ipotizzato inizialmente, il Codice della Privacy non viene completamente abrogato, ma rimane in vigore, con le modifiche finalizzate ad armonizzarlo ai principi fissati nel GDPR 2016/679 sulla protezione dei dati, primo fra tutti a quello di accountability.
Con la cosiddetta accountability si intende che il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative e tecniche conformi al regolamento europeo in materia di privacy.
GDPR e sanzioni amministrative
Per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante della Privacy dovrà tener conto delle difficoltà iniziali riscontrate da privati e imprese nell’adeguamento alle disposizioni contenute nel GDPR, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR.
Le sanzioni amministrative sono di due tipi:
- una multa fino a 10 milioni di euro per le violazioni di entità non grave (per le imprese: fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore);
- una sanzione fino a 20 milioni di euro per le violazioni gravi (per le imprese: fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).
Si erano rincorse voci riguardanti la possibile completa sospensione delle sanzioni amministrative per il periodo immediatamente successivo all’entrata in vigore, ma il testo definitivo pubblicato in Gazzetta Ufficiale recita così: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”
Le indicazioni correttive potrebbero essere:
- Avvertimenti, ammonimenti, ingiunzioni, limitazioni provvisorie o definitive al trattamento, incluso il divieto.
- Rettifica, cancellazione di dati personali, limitazione del trattamento e della notifica di tali misure ai destinatari cui sono stati comunicati i dati personali.
- Revoca della certificazione o ingiunzione all’organismo di certificazione di ritirare la certificazione rilasciata.
- Sospensione dei flussi di dati verso un paese terzo o un’organizzazione internazionale.
Per avere ulteriori approfondimenti, contattaci.