I principi ispiratori del Decreto privacy 2018 Dando seguito al precedente contributo dell11 settembre u.s., passiamo ora alla disamina dei principi ispiratori del decreto privacy 2018 - di adeguamento della normativa nazionale al Reg. Ue 679/16 -. La fase iniziale di attuazione è improntata al principio di elasticità e, nei riguardi delle PMI, della semplificazione nellosservanza delle prescrizioni imposte al titolare del trattamento, da attuarsi con le più snelle modalità che il Garante promuove con linee guida, nel rispetto del Regolamento UE e del codice privacy - Cfr. nuovo articolo 154-bis, comma 4 del Codice Privacy -. La previsione introduce una gradualità nellapplicazione della normativa che tiene conto delle esigenze delle piccole e medie realtà produttive che in Italia permeano il tessuto economico. Al principio di elasticità è ispirato, seppur per un periodo transitorio, il regime sanzionatorio relativo alle violazioni degli obblighi chiariti dal decreto di adeguamento e per le quali le imprese rischiano sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo. Ai sensi dellart. 22, co. 13 del Decreto è infatti previsto che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dellapplicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento UE, della fase di prima applicazione delle disposizioni sanzionatorie. Al Garante è demandato il compito di adottare le sanzioni previste dallart 83, paragrafo 4, del GDPR, a conclusione di un procedimento avviato o dallautonoma iniziativa del Garante stesso, o dalla proposizione di apposito reclamo, o da accessi o ispezioni condotti dalla Guardia di Finanza. In caso di adozione del provvedimento sanzionatorio, limpresa potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro il termine di trenta giorni dalla comunicazione della presunta violazione. Sempre nellambito della disciplina sanzionatoria, è al principio del favo rei che si ispira larticolo 24, comma 1, del Decreto 101, che prevede, anche in relazione alle violazioni commesse anteriormente alla data della sua entrata in vigore - il 19 settembre prossimo - lapplicazione delle disposizioni che, mediante abrogazione, hanno sostituito le sanzioni penali previste dal Codice Privacy con le sanzioni amministrative previste dal Regolamento UE, sempre che il procedimento penale non sia stato definito con sentenza o decreto divenuti irrevocabili. Al principio dellaccountability sono invece improntate le norme che più da vicino riguardano il trattamento dei dati, come il nuovo art. 2 -septies che, in relazione ai dati genetici, biometrici e relativi allo stato di salute, indica al Garante i criteri da seguire nelladozione di misure garanzia, nella quali dovranno essere indicate anche le misure di sicurezza da attuare, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità per l accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati. A tal riguardo, quanto più specifica sarà lindicazione delle misure di sicurezza fornita dal Garante, tanto più i titolari del trattamento saranno agevolati nelladempiere gli obblighi loro imposti. Allo stesso principio è del pari informato il nuovo articolo 132 - ter che impone ai fornitori di servizi di comunicazione elettronica accessibili al pubblico ladozione di misure tecniche e organizzative adeguate al rischio esistente, nonché lobbligo di informare gli abbonati e, ove possibile, gli utenti circa la sussistenza di un particolare rischio di violazione della sicurezza della rete, indicando i casi in cui il rischio è al di fuori dellambito di applicazione delle misure che il fornitore stesso - nel rispetto del principio dellautoresponsabilità - è tenuto ad adottare. Alla logica della continuità è infine ispirata la scelta di far salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nellattuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. Delineato nei suesposti termini il sostrato ideologico delle scelte normative operate dal decreto, per una esaurente disamina delle ulteriori novità di rilievo annidate nel dettato normativo, si rimanda al contributo di prossima pubblicazione sul blog di BLB Studio Legale. Condividi