Cybersecurity & Privacy

GDPR, le novità del Decreto Italiano Privacy 101/2018 in vigore dal 19 settembre 2018

Scritto da Paolo Monini | Sep 16, 2018 10:00:00 PM

Il decreto attuativo della nuova legge sulla Privacy è stato pubblicato in Gazzetta Ufficiale il 4 settembre 2018. Perché è importante? Con questo documento, che era infatti atteso per l’estate, l’Italia si adegua al regolamento UE in materia di tutela dei dati personali. All’interno ci sono novità importanti per le imprese che dovranno essere recepite entro breve, poiché il decreto entrerà in vigore il 19 settembre 2018.

Nuova Deadline per il GDPR: 19 Settembre 2018

Il decreto GDPR 101/2018 costituisce l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679. 

Entrerà in vigore il 19 settembre per tutte le aziende italiane.

Vuoi vedere di che si tratta? Qui trovi la versione integrale

Cambia qualcosa, per la tua azienda, nell’immediato?

Il decreto 101 definisce meglio molti aspetti che dal Regolamento UE sono stati trattati in linea di principio. Quindi sì, cambia più di qualcosa perché ora il GDPR è applicabile in modo più preciso e se non ti adegui rischi sanzioni amministrative o peggio, procedimenti penali.

Di conseguenza nessun periodo di applicazione “light” della normativa.

Nello specifico:

“Il presente decreto 101 del 8.10.2018 e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”.

Ecco una panoramica di alcune principali novità italiane:

 

Sanzioni perseguibili penalmente

Sulle sanzioni penali l’Italia ha invertito la marcia rispetto alle linee guida europee che avevano puntato più sul peso economico delle infrazioni che sul rischio di un processo penale.

Sono classificati come reati penali

  • Il trattamento illecito di dati personali
  • L’acquisizione fraudolenta di dati personali
  • False dichiarazioni rese al Garante.

 

Sanzioni amministrative

Il regolamento europeo - e l’Italia lo conferma - prevede che le imprese che violano gli obblighi privacy specificati dal decreto rischiano di essere assoggettate a sanzioni amministrative che vanno da 10milioni a 20milioni di euro o che sono ricomprese tra il 2% e il 4% del fatturato mondiale annuo. (link a post)

Ti stai chiedendo se corri davvero il rischio di incorrere in sanzioni?

Devi sapere che sono 3 i casi in cui il Garante può verificare la tua azienda: dietro reclamo (è sufficiente una segnalazione), su autonoma iniziativa di controllo oppure ancora in conseguenza di accessi o ispezioni della Guardia di Finanza.

Una volta ricevuto il provvedimento sanzionatorio, all'impresa vengono concessi solo 30 giorni di tempo per produrre le proprie memorie che non possono essere certo delle rassicurazioni verbali. L’azienda, per proteggersi, deve dimostrare di essere GDPR compliance sia sotto il profilo tecnico sia sotto il profilo della gestione dei processi che coinvolgono i dati delle persone (clienti, fornitori, tutti).

Social

Per iscriversi ai Social sono sufficienti 14 anni. In questo caso i Social hanno la prescrizione, da parte del Garante della Privacy, di prevedere testi per i consensi semplici e facilmente comprensibili da parte di tutti, anche dai 14enni perché possano farne un uso consapevole. Ciò anche in virtù del caso Facebook scoppiato pochi mesi fa

Curriculum vitae

Il decreto stabilisce che le informazioni specifiche personali legati alla selezione del personale vanno fornite solo al momento del primo contatto utile successivo all'invio del curriculum.

Ho voluto fare una panoramica generale, anche se queste non sono le uniche novità, per farti capire quanto importante sia la visione d’insieme dell’adeguamento e integrazione alla nuova legge sulla tutela dei dati personali.

Cosa fare, subito, prima in ottemperanza alla scadenza del 19 settembre?

Beh, innanzitutto va detto che dovresti avere già iniziato a maggio – con l’entrata in vigore effettiva del GDPR in tutt’Europa – ad attivare procedure che tutelino te, come imprenditore, sul fronte del rischio penale e la tua azienda sul fronte del rischio amministrativo.