GDPR, lo scorso 4 settembre è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto legislativo del 10 Agosto riguardante il nuovo “codice della privacy italiano” rubricato: Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Il nuovo codice privacy entrerà in vigore il prossimo 19 settembre e prevede 8 mesi di “ragionevolezza” del Garante nell’applicazione delle sanzioni, formalizzando un intento già promosso in passato dal Garante stesso (vedi articolo qui).
La commissione ha deciso di novellare il codice privacy esistente, nonostante il GDPR abbia introdotto un importante cambiamento di approccio, introducendo il principio di accountability. Una scelta che mira a garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante, le autorizzazioni generali e i codici deontologici, oggetto di un futuro riesame.
Scelta abbastanza impopolare: il Codice Privacy è stato in passato oggetto di diversi aggiornamenti e l’ultima rivisitazione ha complicato l’interpretazione del testo.
Il nuovo Decreto Legislativo 101 del 10 agosto allinea quindi il Codice Privacy al GDPR e formalizza, in considerazione della complessità del GDPR ma sempre compatibilmente con il Regolamento, un approccio ragionevole nella applicazione delle sanzioni amministrative nei primi 8 mesi di applicabilità.
Ancora, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante individui modalità semplificate di implementazione del GDPR.
Attenzione a cantare vittoria, le semplificazioni potranno interessare le modalità di adeguamento ma non certo gli obblighi previsti dal GDPR, anche in considerazione del fatto che dallo scorso maggio le aziende dovrebbero aver già provveduto ad adeguarsi al Regolamento.
Esistono alcuni casi particolari, ad esempio, i dati relativi alla salute saranno oggetto di uno specifico provvedimento del Garante che con cadenza biennale sarà chiamato ad individuare le specifiche misure di garanzia e condizioni di trattamento applicabili.
Ancora, per il trattamento dati in ambio di rapporti di lavoro e di ricerca scientifica, il Garante potrà adottare delle specifiche regole deontologiche.
Le aziende possono continuare a delegare internamente specifici compiti in materia privacy (il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome) e soprattutto possono scegliere come, in concreto, autorizzare il personale al trattamento dei dati, beneficiando di una certa discrezionalità nel definire il proprio modello organizzativo privacy.
Possiamo concludere che il nuovo Codice Privacy lascia di fatto aperte diverse questioni che saranno chiarite nei prossimi mesi dal Garante.
La sfida per il corretto adeguamento continua.
Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.
Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited
Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime