Premessa

Dal 25 maggio 2018 è stata sancita l’obbligatorietà del Regolamento comunitario (UE) 2016/679, denominato GDPR (General Data Protection Regulation), che regolamenta la protezione delle persone fisiche con riguardo al trattamento dei dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile), nonché alla libera circolazione degli stessi, per tutti gli Stati membri dell’Unione europea.

In Italia, per la materia è stato successivamente emanato il D. Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, con l’intento di armonizzare il testo del nostro Codice Privacy con quello del Regolamento europeo.[1]

Nonostante l’auspicio di molti, che venisse decretato un vero e proprio “periodo di grazia” che prevedesse anche una temporanea sospensione delle ispezioni, nel decreto è stato previsto un periodo di otto mesi (19.09.2018 – 19.05.2018) in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende e professionisti ritardatari.

Chi deve adeguarsi (o meglio dovrebbe già essere adeguato)

È importante chiarire che la nuova normativa interessa TUTTI coloro che trattano dati di persone fisiche, indipendentemente dal volume di affari o dalla tipologia di attività svolta.

Il Garante per la protezione dei dati personali ha stilato un elenco esemplificativo dei soggetti obbligati alla tenuta del registro dei trattamenti (articolo 30 G.DP.R.):

1) esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente/collaboratore (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

2) liberi professionisti con almeno un dipendente/collaboratore e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

3) associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

4) il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Sanzioni

In caso di violazione della disciplina sul trattamento dei dati personali, la normativa italiana prevede gravi conseguenze in ambito amministrativo, civile ed anche penale.

In primo luogo, è importante ricordare che:

• i controlli vengono effettuati dagli Agenti della Guardia di Finanza (nucleo operativo privacy);
• la segnalazione alle Autorità competenti può essere effettuata, non solo da chi lamenta una violazione nel trattamento dei propri dati, ma da CHIUNQUE, come, ad esempio, un competitor/concorrente commerciale.

Conseguenze amministrative (multe)

Il Regolamento europeo (G.D.P.R.) prevede delle gravissime sanzioni amministrative:

– fino ad un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore) – per l’inosservanza di principi come la privacy by design o la carenza di misure adatte a garantire un buon standard di sicurezza.

- fino ad un massimo di 20 milioni o il 4% del fatturato – per la trasgressione dei principi fondamentali, come la negazione del diritto all’oblio (richiesta di cancellazione dei propri dati) o l’opacità nella richiesta di consenso dei dati.

Conseguenze civili (risarcimento danni)

Qualsiasi persona fisica (es. cliente/dipendente/collaboratore etc..) subisca un danno causato da una violazione della nuova normativa ha il diritto di ottenere il risarcimento dei danni dal Titolare del trattamento.

Conseguenze penali (carcere)

Il Legislatore italiano ha, inoltre, previsto una serie di sanzioni penali, tra le quali quelle per il trattamento illecito di dati, punito con la reclusione da sei mesi a un anno e sei mesi.

Rischia, invece, la reclusione da uno a tre anni di carcere chi trasferisce illecitamente dati personali all’estero o commette violazioni riguardanti i trattamenti dei c.d. “dati particolari” o per violazioni delle misure e gli accorgimenti imposti dal Garante.

Viene introdotto anche il reato di “acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, punito con la, reclusione fino a quattro anni e rischia addirittura fino a sei anni di carcere chi comunica o diffonde illecitamente banche dati che sono oggetto di trattamento su larga scala.

Sono inoltre previste pene detentive anche per chi dichiara il falso al Garante, non ne rispetta i provvedimenti, o di chi interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell’Autorità. [2]

Conclusioni

In conclusione, l’approccio con la privacy è totalmente cambiato con l’avvento del GDPR e le imprese ed i professionisti devono considerare l’attuazione del GDPR non come un costo ma come un investimento fondamentale per sviluppare il proprio futuro nell’attuale mercato globalizzato e digitalizzato. Proteggere i dati, infatti, non significa solo tutelare i propri utenti ma, soprattutto, assicurare la qualità del trattamento in un’ottica di continua crescita informatico-digitale della propria struttura aziendale e/o amministrativa.

[1] Redazione Ipsoa, Nuovo Codice della Privacy: adeguamento in salita. E le sanzioni?, in www.ipsoa.it

[2] Così, Redazione Ipsoa, ivi.