/ Roberta VITALE Venerdì, 22 giugno 2018
5-6 minuti
Le Commissioni speciali della Camera e del Senato per l’esame degli atti del Governo hanno concluso il 20 giugno l’analisi dello schema di DLgs. recante disposizioni per l’adeguamento della normativa nazionale al Regolamento Ue 679/2016 (GDPR), esprimendo pareri favorevoli ma con condizioni e osservazioni.
I pareri sullo schema di DLgs. – predisposto in attuazione della delega contenuta nell’art. 13 della legge di delegazione europea 2016-2017 n. 163/2017 – seguono quello già reso dal Garante della privacy il 22 maggio 2018 (si veda “Garante Privacy favorevole allo schema di decreto, ma con osservazioni” del 24 maggio 2018).
Si fa presente che, allo stato vigente della normativa, coesistono due fonti normative in materia di privacy: da un lato, vi è il GDPR, che ha trovato diretta applicazione negli Stati membri dell’Ue dallo scorso 25 maggio 2018, e, dall’altro, il Codice della privacy (di cui al DLgs. 196/2003). Lo schema di DLgs. interviene su quest’ultimo, limitandosi ad apportare modifiche e integrazioni, senza procedere alla sua abrogazione o sostituzione.
Entrando nel merito dei pareri, emergono di particolare interesse i profili di incertezza evidenziati sulla figura del Responsabile della protezione dei dati (RPD o Data Protection Officer – DPO), disciplinata dal GDPR agli artt. 37- 39.
Posto che l’art. 37 par. 1 lett. b) e c) del GDPR richiama per l’obbligo di nomina un trattamento di dati “su larga scala”, non è chiara l’applicazione di tale disposizione anche alle piccole imprese. Pertanto, sarebbe opportuna una specificazione della nozione di “dati su larga scala”. In alternativa, viene proposta l’esclusione dall’obbligo di designazione di una serie di soggetti rispetto al tipo di attività svolta o del volume dell’attività realizzata. Possibile anche la previsione di una semplificazione di tale obbligo.
Occorrerebbe chiarire altresì la necessità per le piccole imprese di tenere il registro per le operazioni relative al trattamento dei dati.
Si rileva, poi, nel testo dello schema di DLgs. qualche difficoltà di coordinamento con il DLgs. 51/2018, con il quale è stata data attuazione alla direttiva Ue 680/2016 del Parlamento europeo e del Consiglio, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Tale circostanza potrebbe comportare l’intervento del legislatore con successivi decreti correttivi o integrativi.
Per evitare incertezze sui poteri del Garante della privacy in materia di sanzioni, viene proposta l’indicazione più dettagliata dell’applicazione progressiva dei poteri correttivi, tenuto conto della proporzionalità e della gravità delle violazioni rilevate e dell’eventuale recidiva.
Poteri più dettagliati del Garante
Per quanto riguarda più specificatamente la parte sanzionatoria, viene precisata l’opportunità di prevedere – così come si legge nel parere approvato dalla Commissione della Camera – un minimo edittale alle sanzioni amministrative stabilite dal GDPR (cfr. art. 83), anche ai fini dell’accesso all’oblazione, purché in maniera compatibile con il rispetto dei principi e criteri direttivi della legge delega e con le norme del GDPR stesso.
Inoltre, si dovrebbe valutare il ricorso a sanzioni penali solo in presenza di violazioni gravi e con riferimento a fattispecie rispetto alle quali non trovino applicazione sanzioni amministrative comminate ai sensi del GDPR.
In entrambi i pareri viene inserita la possibilità per il Garante della privacy, nell’ambito di una fase transitoria (non inferiore a 8 mesi successiva all’entrata in vigore del DLgs.), di non irrogare sanzioni alle imprese, ma solo ammonimenti o prescrizioni di adeguamento alla nuova disciplina. Ciò in base, fra l’altro, al principio di proporzionalità e gradualità della sanzione.
Quanto alle modalità di verifica delle autorizzazioni generali di cui all’art. 21 dello schema di DLgs., viene evidenziata nei pareri la brevità del termine posto di 90 giorni per l’adozione da parte del Garante della privacy del provvedimento generale con il quale si individuano le prescrizioni compatibili con il GDPR.
Viene così proposta, fra l’altro, la revisione del comma 1, con la modifica di tali termini, e del comma 2, ai sensi del quale le autorizzazioni generali sottoposte a verifica, che sono state ritenute incompatibili, cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento generale, e non più il novantesimo giorno successivo alla data di entrata in vigore del DLgs.