Il 04 Settembre 2018 è stato pubblicato in Gazzetta Ufficiale (GU Serie Generale n.205 del 04-09-2018), il Decreto legislativo 10 agosto 2018, n. 101, (Decreto GDPR), recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).”

Il Decreto attuativo, composto di 27 articoli, contiene le disposizioni di adeguamento e armonizzazione delle regole sulla privacy al Regolamento UE 2016/679 e recepisce le numerose novità in materia di tutela dei dati personali contenute nel GDPR. Discostandosi da una precedente formulazione, il Decreto di adeguamento al GDPR non abroga in toto il Codice della Privacy ma lo mantiene in vigore, operando una sensibile rimodulazione per adeguarlo alle prescrizioni del Regolamento UE.

Le regole entreranno in vigore il prossimo 19 settembre.

Tra le principali novità contenute nel Decreto c’è da segnalare:

• L’art. 22, co. 13 fissa un periodo di “flessibilità” di otto mesi durante i quali “il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni […], della fase di prima applicazione delle disposizioni sanzionatorie”
• L’art. 13 prevede che “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento”, allargando la platea di soggetti che il Codice della Privacy limitava ai solo interessati
• Viene inserito nel Codice della Privacy l’art. 154-bis, che al comma 4 dispone l’emanazione da parte del Garante di modalità semplificate di adempimento degli obblighi del titolare del trattamento
• Per i provvedimenti non ancora definiti con l’adozione dell’ordinanza di ingiunzione è prevista la possibilità di pagare la sanzione in misura ridotta (pari a due quinti del minimo) entro il termine di 90 giorni dalla data di entrata in vigore del Decreto attuativo
• Per le violazioni commesse anteriormente alla data di entrata in vigore del Decreto, potranno essere applicate le sanzioni amministrative sostitutive delle sanzioni penali previste dall’ex Codice Privacy qualora il procedimento penale non sia ancora stato definito con sentenza o Decreto irrevocabili

Le sanzioni amministrative vanno da 10 a 20 milioni di euro, o nel caso di imprese dal 2% al 4% del fatturato mondiale annuo. Con riguardo alle sanzioni penali il Decreto è intervenuto modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy ed integrando le stesse con ulteriori violazioni. Allo stato, le fattispecie per cui saranno applicabili sanzioni penali sono:

• 167 (Trattamento illecito dei dati)
• 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
• 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
• 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
• 170 (Inosservanza dei provvedimenti del Garante);

È importante segnalare come l’adeguamento alle regole previste dal Regolamento UE 2016/679 e dalla normativa attuativa interna non sia limitata ad una mera “compliance normativa”: per il principio dell’accountability, pilastro tra l’altro anche del GDPR, non riguarda solo la responsabilità nel trattamento di dati personali sensibili, ma coinvolge aspetti quali l’affidabilità e la competenza aziendale nella gestione di tali dati, richiedendo dunque un approccio più flessibile e modulabile. Non solo adeguamento normativo, ma anche creazione di infrastrutture informatiche, formazione del personale incaricato e monitoraggio continuo da parte di figure preposte.

Tecnogea è impegnata da tempo a fornire servizi di elevata qualità in materia di trattamento dei dati personali e adeguamento al GDPR. La nostra consulenza viene svolta tramite esperti di comprovata professionalità ed esperienza, e non si limita alla compliance legislativa, ma si estende a tutti gli aspetti della gestione dei dati sensibili. Il nostro scopo è di creare sistemi di gestione dotati di solide fondamenta e che siano al contempo abbastanza flessibili da adeguarsi alle esigenze aziendali, tenendo conto dell’ambito di operatività, del modello di business, della gestione delle risorse umane in seno all’azienda e dei mutamenti del quadro economico.

Contattaci per ricevere maggiori informazioni.