Con l’approvazione e la pubblicazione in G.U. del decreto di adeguamento al GDPR l’Italia si conferma uno dei paesi europei con la normativa sulla privacy più complessa e articolata.
Il confronto europeo sul Gdpr
Per avere un’idea del livello di complessità della nostra normativa basti pensare che la legge olandese di adeguamento al GDPR si compone di circa 60 articoli, quella francese conta una settantina di articoli, mentre il nostro nuovo Codice della Privacy (così come modificato e integrato dal decreto appena pubblicato in G.U.) arriva a circa 110 articoli.
Tale complessità è dovuta alla scelta del legislatore italiano di avvalersi di quasi tutte le cosiddette “clausole di apertura” del GDPR, ossia di quelle disposizioni del Regolamento che consentono agli Stati membri di mantenere o introdurre norme specifiche ulteriori in materia di protezione dei dati personali. Infatti, pur applicandosi direttamente in tutti gli Stati membri, il GDPR offre a questi ultimi la possibilità di introdurre alcune deroghe e regole ulteriori in ambiti specifici, quali quello della sanità, della ricerca scientifica e dei rapporti di lavoro.
Il legislatore italiano ha fatto ampio uso di questa possibilità. Ad esempio, il nostro legislatore si è avvalso della facoltà concessa dal GDPR a tutti gli Stati membri di prevedere sanzioni penali per alcune violazioni della normativa sulla privacy; ha fissato regole estremamente dettagliate per quanto riguarda il trattamento dei dati personali in ambito sanitario; e ha previsto (caso quasi unico in Europa) regole specifiche per il trattamento dei dati personali concernenti persone decedute, un tipo di trattamento a cui di norma non si applicano le disposizioni del GDPR.
Decreto Gdpr, le urgenze dopo l’entrata in vigore (19 settembre)
Le regole in arrivo
Il quadro normativo che emerge dopo la pubblicazione del decreto di adeguamento è destinato a complicarsi ulteriormente. Infatti, numerose disposizioni del decreto rinviano a provvedimenti da adottarsi in futuro da parte del Garante e del Governo. Ciò significa che per conoscere la disciplina applicabile non sarà sempre sufficiente leggere solo il GDPR ed il decreto di adeguamento.
Facilitazioni per le PMI
Un provvedimento particolarmente interessante che il Garante dovrebbe adottare in futuro riguarda l’individuazione di modalità semplificate di adempimento degli obblighi di quei titolari classificabili come PMI. A questo proposito, è bene ribadire come il margine di manovra del Garante sia estremamente limitato, visto che tali modalità semplificate potranno essere previste solo nei limiti di quanto consentito dal GDPR, il quale prevede limitatissime deroghe per le PMI (ad esempio, per quanto riguarda la conservazione delle registrazioni e i meccanismi di certificazione). È inoltre importante chiarire che il provvedimento del Garante si applicherà solo a quelle aziende che rispettino tutti i requisiti della definizione di PMI fissati a livello europeo (meno di 250 dipendenti; fatturato annuo non superiore a 50 milioni di euro oppure totale di bilancio annuo non superiore a 43 milioni di euro), da valutarsi anche tenendo conto dei dati di eventuali imprese associate e collegate. In definitiva, tale provvedimento potrebbe essere di portata molto inferiore alle attese di molte aziende che ancora faticano ad adeguarsi al GDPR.
