I principi ispiratori del Decreto privacy 2018

Dando seguito al precedente contributo dell’11 settembre u.s., passiamo ora alla disamina dei principi ispiratori del decreto privacy 2018 - di adeguamento della normativa nazionale al Reg. Ue 679/16 -.

La fase iniziale di attuazione è improntata al principio di elasticità e, nei riguardi delle PMI, della semplificazione nell’osservanza delle prescrizioni imposte al titolare del trattamento, da attuarsi con le più ‘‘snelle’’ modalità che il Garante promuove con linee guida, nel rispetto del Regolamento UE e del codice privacy - Cfr. nuovo articolo 154-bis, comma 4 del Codice Privacy -.

La previsione introduce una gradualità nell’applicazione della normativa che tiene conto delle esigenze delle piccole e medie realtà produttive che in Italia permeano il tessuto economico.

Al principio di elasticità è ispirato, seppur per un periodo transitorio, il regime sanzionatorio relativo alle violazioni degli obblighi chiariti dal decreto di adeguamento e per le quali le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo.

Ai sensi dell’art. 22, co. 13 del Decreto è infatti previsto che ‘‘per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento UE, della fase di prima applicazione delle disposizioni sanzionatorie’’.

Al Garante è demandato il compito di adottare le sanzioni previste dall’art 83, paragrafo 4, del GDPR, a conclusione di un procedimento avviato o dall’autonoma iniziativa del Garante stesso, o dalla proposizione di apposito reclamo, o da accessi o ispezioni condotti dalla Guardia di Finanza.

In caso di adozione del provvedimento sanzionatorio, l’impresa potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro il termine di trenta giorni dalla comunicazione della presunta violazione. Sempre nell’ambito della disciplina sanzionatoria, è al principio del favo rei che si ispira l’articolo 24, comma 1, del Decreto 101, che prevede, anche in relazione alle violazioni commesse anteriormente alla data della sua entrata in vigore  - il 19 settembre prossimo - l’applicazione delle disposizioni che, mediante abrogazione, hanno sostituito le sanzioni penali previste dal Codice Privacy con le sanzioni amministrative previste dal Regolamento UE, sempre che il procedimento penale non sia stato definito con sentenza o decreto divenuti irrevocabili.

Al principio dell’accountability sono invece improntate le norme che più da vicino riguardano il trattamento dei dati, come il nuovo art. 2 -septies che, in relazione ai dati genetici, biometrici e relativi allo stato di salute, indica al Garante i criteri da seguire nell’adozione di misure garanzia, nella quali dovranno essere indicate anche le misure di sicurezza da attuare, ‘‘ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità per l’ accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati’’.

A tal riguardo, quanto più specifica sarà l’indicazione delle misure di sicurezza fornita dal Garante, tanto più i titolari del trattamento saranno agevolati nell’adempiere gli obblighi loro imposti.

Allo stesso principio è del pari informato il nuovo articolo 132 - ter che impone ai fornitori di servizi di comunicazione elettronica accessibili al pubblico l’adozione di misure tecniche e organizzative adeguate al rischio esistente, nonché l’obbligo di informare gli abbonati e, ove possibile, gli utenti circa la sussistenza di un particolare rischio di violazione della sicurezza della rete, indicando i casi in cui il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso - nel rispetto del principio dell’autoresponsabilità - è tenuto ad adottare.

Alla logica della continuità è infine ispirata la scelta di far salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.

Delineato nei suesposti termini il sostrato ideologico delle scelte normative operate dal decreto, per una esaurente disamina delle ulteriori novità di rilievo annidate nel dettato normativo, si rimanda al contributo di prossima pubblicazione sul blog di BLB Studio Legale.