Normativa europea sulla privacy: l'adeguamento dell'Italia

di lettura

Mancano pochi mesi alla efficacia Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, che riforma la disciplina del trattamento dei dati personali (di seguito, RGPD). Quali modifiche sono in corso nella legislazione italiana a riguardo?

Normativa europea in materia di privacy: l'adeguamento dell'Italia

È esclusa ogni possibilità di proroga, il RGPD avrà piena efficacia e l’Italia non ha ancora adottato un quadro normativo certo. Il legislatore italiano ha posto le basi normative e, adesso, si attendono i provvedimenti del Governo e del Garante per la tutela dei dati personali (di seguito, Garante) contenenti le norme di dettaglio.

Secondo quanto riferisce la Commissione europea con il comunicato inviato al Parlamento ed al Consiglio il 24 gennaio 2018, solo Austria e Germania hanno già adottato la legislazione nazionale pertinente, gli altri Stati membri hanno raggiunto diversi stadi delle rispettive procedure legislative e prevedono di adottare, Italia compresa, la normativa entro il 25 maggio 2018. 

La Commissione, qualora gli Stati membri non adottino le misure necessarie a norma del RGPD europea in tempo, intende avvalersi di tutti gli strumenti di cui dispone, procedura di infrazione compresa.

Provvedimenti adottati dal legislatore italiano

1. La Legge 25 ottobre 2017 n. 163 (Legge di Delegazione Europea 2016-2017) ha conferito delega al Governo per adeguare il quadro normativo nazionale alle disposizioni del RGPD mediante provvedimenti legislativi di modifica del vigente Codice Privacy (D.Lgs. n. 196/2003). Il governo dovrà attenersi nell'esercizio della delega ai seguenti criteri direttivi:

  • abrogare/modificare/coordinare le disposizioni del Codice Privacy conformemente a quelle del RGPD;
  • prevedere la possibilità che molti dei provvedimenti attuativi e integrativi previsti dal RGPD possano essere emanati dal Garante con propri atti;
  • adeguare il sistema sanzionatorio vigente alle disposizioni del RGPD con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione commessa. Quindi alle pesanti sanzioni amministrative si affiancheranno anche quelle penali.

2. La legge 20 novembre 2017 n. 167 (Legge Europea 2017) ha modificato l’art. 29 dell’attuale Codice Privacy, che quindi è già in vigore nel testo modificato, integrando alcuni requisiti della nomina del responsabile del trattamento previsti dal RGPD. 
La nomina a responsabile è il contratto che in genere viene stipulato dall’azienda con il proprio fornitore (ad esempio il fornitore dello spazio in cloud), quando vi è un trattamento di dati personali. 
A questo proposito si segnala il vivace dibattito circa la corretta individuazione dei soggetti che compongono l’organigramma privacy. Questo perché l’Italia, già da tempo, ha scelto di adottare un sistema a tre soggetti:

  • il titolare (l’azienda)
  • il responsabile (l’outsourcer)
  • e l’incaricato (il dipendente)

che non trova corrispondenza nel RGPD, che prevede espressamente solo:

  • le figure del titolare (controller)
  • del responsabile (processor). 

Il Garante, in proposito, ritiene compatibile tale struttura con il RGPD ed invita le aziende a mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento. Inoltre, in Italia, sussiste la prassi operativa, a certe condizioni, di nominare “responsabile del trattamento” anche il singolo dipendente, il dirigente o l’area aziendale interna all’azienda (ad es. HR). Autorevole dottrina sostiene l’incompatibilità di tale nomina con il RGPD; il Garante, a quanto risulta, non si è ancora espresso sul punto.

Quello che preme sottolineare è che già da subito, quindi prima del 25 maggio 2018, è opportuno esaminare i vari contratti con gli outsourcer per predisporre testi a norma di legge. Più in generale, si evidenzia la necessità, anche per i soggetti attualmente in regola con il Codice Privacy, di verificare che le varie nomine privacy siano conformi ai dettami del RGPD. E’ bene, inoltre, che i soggetti nominati “responsabili del trattamento” abbiano consapevolezza delle pesanti responsabilità connesse a tale ruolo. 

3. La legge 27 dicembre 2017, n. 205 (Legge di Bilancio 2018) conferisce delega al Garante per la tutela dei dati personali (Garante) di emanare un proprio provvedimento che:

  • disciplini le modalità attraverso le quali il Garante stesso monitora l'applicazione del regolamento RGPD e vigila sulla sua applicazione;
  • disciplini le modalità di verifica ai fini della portabilità dei dati personali trattati per via automatizzata o tramite tecnologie digitali; 
  • preveda un modello di informativa per trattamenti fondati sull'interesse legittimo del titolare che prevede l'uso di nuove tecnologie o di strumenti automatizzati (quindi non su consenso o obbligo contrattuale); 
  • definisca linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare. 
  • Viene stabilito inoltre un procedimento di comunicazione tempestiva al Garante in caso di trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati.

Altro punto dolente: le misure di sicurezza. Con la piena efficacia del RGPD vengono meno le “misure minime” che saranno rimpiazzate da “misure adeguate”, leggasi adeguate allo specifico livello di rischio connesso allo specifico trattamento di dati (da valutare caso per caso). 

In futuro, le imprese potranno avvalersi dei nuovi strumenti previsti dal RGPD come elemento per dimostrare la conformità – per esempio i codici di condotta e i meccanismi di certificazione – strumenti che però al momento non sono ancora disponibili. Il Garante sul punto sembra stia valutando l’adozione di linee guida o buone prassi, facendo anche riferimento alle prescrizioni contenute nelle attuali misure minime di sicurezza (Allegato “B” al Codice Privacy).

In ogni caso, le aziende devono prepararsi ed adeguarsi alle nuove norme del RGPD – un testo normativo che è in vigore da quasi due anni – per evitare di incorrere, successivamente al 25 maggio 2018, in sanzioni pecuniarie che possono raggiungere 20 milioni di euro o, nel caso di un'impresa, sino al 4% del fatturato mondiale annuo, senza considerare le sanzioni penali che a breve potrebbero essere introdotte nel nostro ordinamento.  

Ricordiamo che, in ogni caso, il RGPD è l’occasione per:

  • aggiornare le mappature di soggetti, flussi e modalità con cui vengono trattati i dati personali (molte aziende infatti, venuto meno l’obbligo del DPS, non hanno più effettuato verifiche di compliance privacy effettive) rendendo gli asset aziendali più efficienti;
  • instaurare nuovi rapporti con la clientela ed i fornitori basati sulla fiducia e sulla trasparenza.

In questo scenario, che è oggettivamente incerto e complesso, Unioncamere Lombardia metterà a disposizione delle aziende da marzo un Manuale operativo ed un sistema di feedback che consenta, nel modo più semplice possibile, di aumentare la consapevolezza in materia e di documentare gli sforzi fatti dall’azienda per l’adeguamento al RGPD. 

Avv. Andrea Antognini

Altre tematiche
Franchising internazionale: quando scegliere l’area development
Franchising internazionale: quando scegliere l’area development
La formula franchising per l’estero presenta tre principali declinazioni: il master franchising, modello strategico in cui la casa-madre concede la licenza in esclusiva ad un partner per un Paese o macro-area con l’impegno di sviluppare ...
Coronavirus e trasporti internazionali: Marocco
Coronavirus e trasporti internazionali: Marocco
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Austria, Danimarca, Francia, Germania, Portogallo, Regno Unito, Spagna, Svizzera
Coronavirus e trasporti internazionali: Austria, Danimarca, Francia, Germania, Portogallo, Regno Unito, Spagna, Svizzera
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Russia, Ucraina, Slovacchia, Ungheria, Repubblica Ceca, Polonia
Coronavirus e trasporti internazionali: Russia, Ucraina, Slovacchia, Ungheria, Repubblica Ceca, Polonia
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Albania, Bosnia, Romania, Macedonia, Serbia,  Slovenia
Coronavirus e trasporti internazionali: Albania, Bosnia, Romania, Macedonia, Serbia, Slovenia
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Dal prodotto all’insegna quale leva per sostenere export e listini
Dal prodotto all’insegna quale leva per sostenere export e listini
Progettare un piano di export significa innanzitutto mappare lo “stato dell’arte” del singolo mercato di sbocco e valutarne le potenzialità, non soltanto sotto il profilo della domanda finale ma anche e, talora, soprattutto della domanda intermedia ovvero dei buyer e delle strutture distributive in essere.
Aggregarsi per l'export
Aggregarsi per l'export
Il panorama industriale italiano gode di un numero altissimo (circa 3 milioni) di piccole o addirittura micro aziende (rispettivamente con meno di 50 o 10 dipendenti). La media non raggiunge i 4 dipendenti per azienda, quando in Germania, ad esempio, è circa il triplo.
Il piano di business internazionale in 6 passi
Il piano di business internazionale in 6 passi
L’elaborazione di un piano marketing per l’estero serve a formalizzare un approccio pianificato che permetta di ridurre tempi, costi e rischi del processo di internazionalizzazione, evitando di procedere per tentativi o in base ad una valutazione superficiale dei mercati esteri e dei punti di forza e di debolezza dell’impresa.
L’importanza di tutelare la proprietà intellettuale
L’importanza di tutelare la proprietà intellettuale
Con il termine proprietà intellettuale (PI) si indica un sistema di tutela giuridica dei beni immateriali frutto dell’attività creativa e inventiva dell’uomo, come le opere artistiche e letterarie, le invenzioni industriali e i modelli di utilità, il design e i marchi.
Proprietà intellettuale e sorveglianza doganale
Proprietà intellettuale e sorveglianza doganale
La piaga economico-sociale della contraffazione preoccupa e occupa ogni giorno moltitudini di imprese in tutto il mondo.