Se pur con un notevole ritardo dalla data di applicazione ufficiale del Regolamento Europeo n. 2016/679 (c.d. “GDPR”), è stato pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 il D.Lgs. n. 101 del 10 agosto 2018 recante le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento Europeo medesimo.
Il decreto entrerà in vigore il 19 settembre 2018 e appare quindi urgente declinare quelli che, a parere di questo studio, appaiono essere i principi e le novità di maggior risonanza in esso contenuti.
Prima di tutto un cenno all’aspetto sanzionatorio.
Si legge, infatti, all’art. 22 delle disposizioni transitorie e finali del D.lgs. in commento che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Questo potrebbe far presumere che vi sarà quindi ancora del tempo, per coloro che ancora oggi non abbiano perfezionato all’interno delle proprie aziende i lavori di adeguamento in ambito privacy, di implementare i propri sistemi di gestione e tutela dei dati senza essere sin da ora assoggettati alle ingenti sanzioni astrattamente applicabili in caso di violazione alla normativa.
Si ricorda, infatti, che le sanzioni astrattamente applicabili sono:
- Sanzioni Amministrative fino a Euro 10.000,00 o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente in caso di inosservanza degli obblighi del Titolare e del Responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo.
- Fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente in caso di inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo.
- Fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente in caso di inosservanza di un ordine correttivo dell’Autorità di Controllo.
Proseguendo nella disamina degli spunti di maggior interesse del D.lgs. 101/2018, si evidenzia però come tale misura sia controbilanciata da una previsione che legittima, chiunque ne abbia interesse – e quindi non solo il soggetto interessato – a svolgere segnalazioni di difformità al Garante Privacy, che rimane l’unica Autorità deputata al controllo e alla promozione delle regole deontologiche in materia.
Con riguardo, invece, alle disposizioni processuali, si precisa come il legislatore abbia previsto una modifica alla parte III, titolo I, del previgente D.lgs. 196/2003. Si legge “(Alternatività’ delle forme di tutela) – Art.140-bis (Forme alternative di tutela). – 1. Qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria”.
Certamente più celeri i tempi di definizione dell’ipotetica controversia qualora si decidesse di promuovere reclamo anziché ricorso. Nel primo caso, infatti, il procedimento sarebbe deciso entro nove mesi dalla data di presentazione del reclamo medesimo, salvo che motivate esigenze istruttorie non richiedano la proroga di ulteriori tre mesi.
Infine, si abbia a riguardo all’art. 9 del D.lgs. 101/2018 poiché in questa disposizione vi è chiaramente scritto come fra gli ambiti specifici di applicabilità della normativa rientrino anche le problematiche e gli incombenti correlati al diritto del lavoro.
Sicuramente diventa quindi imprescindibile per le aziende passare in rassegna le proprie politiche di assunzione e gestione del personale, così come il Titolare del Trattamento sarà tenuto a rinnovare rinnovare la formazione didattica sul tema.
Per qualsiasi ulteriore approfondimento Margiotta & Partners è a disposizione inviando una mail a segreteria@margiottalegal.it.