Riguarderanno gli adempimenti del titolare del trattamento nelle micro, piccole e medie imprese
Fra le novità del DLgs. 101/2018, recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento Ue 2016/679/UE (GDPR), vi è la previsione di modalità semplificate di adempimento degli obblighi privacy per le micro, piccole e medie imprese.
Il DLgs. 101/2018 – in vigore dal prossimo 19 settembre – con una disposizione posta nell’ambito della Parte III del Codice della privacy (art. 154-bis, comma 4), relativa alla tutela dell’interessato (amministrativa e giurisdizionale) e alle sanzioni, non precisa, però, quali siano le semplificazioni, rimettendole direttamente al Garante della privacy. Il Garante promuove le suddette semplificazioni nell’ambito delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, nel rispetto delle disposizioni dello stesso Regolamento e del DLgs. in commento.
Si rammenta comunque che le semplificazioni richiamate dal DLgs. 101/2018 si inserisco in un quadro normativo europeo in materia di privacy segnato già dalle nuove disposizioni del Regolamento, direttamente applicabili in tutti gli Stati membri dallo scorso 25 maggio, la verifica della cui applicazione è demandata proprio al Garante, sia pur nei limiti di quanto stabilito dall’art. 22, comma 13 del DLgs. Secondo tale disposizione, per i primi otto mesi, il Garante “tiene conto”, per quanto concerne l’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento, della fase di prima applicazione delle disposizioni sanzionatorie.
Quanto all’ambito soggettivo di applicazione dell’art. 154-bis, comma 4 del Codice della privacy, viene precisato che le esigenze di semplificazione riguarderanno le micro, piccole e medie imprese, così come definite dalla raccomandazione 2003/361/CE. Nel dettaglio, si definisce: microimpresa, un’impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di euro; piccola impresa, un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro; media impresa, un’impresa che occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.
Con riferimento, invece, all’oggetto delle semplificazioni “promesse”, l’art. 154-bis, comma 4 del Codice della privacy richiama genericamente “modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
Il titolare del trattamento, ai sensi dell’art. 4 n. 7 del Regolamento, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Fra gli adempimenti posti in capo al titolare del trattamento così definito vi sono, fra gli altri, l’obbligo generale di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in maniera conforme al Regolamento, con successivo riesame e aggiornamento (art. 24, par. 1 del Regolamento).
Più specificatamente, poi, il titolare del trattamento è tenuto a predisporre un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30 del Regolamento), contenente, fra le altre informazioni, le finalità del trattamento e una descrizione delle categorie di interessati e delle categorie di dati personali. Il registro va tenuto in forma scritta, anche in formato elettronico.
Il Regolamento precisa che da tale obbligo sono escluse le imprese od organizzazioni con meno di 250 dipendenti, salvo che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (di cui all’art. 9, par. 1 del Regolamento) o di dati personali relativi a condanne penali e a reati (di cui all’art. 10 del Regolamento).
Un altro adempimento posto in capo al titolare del trattamento è quello relativo alla predisposizione di una DPIA, cioè una valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento), nei casi in cui, in linea generale, il trattamento – considerato alla luce della natura, dell’oggetto, del contesto e delle libertà delle persone fisiche – presenti rischi elevati per i diritti e le libertà delle persone, in particolare nel caso di uso di nuove tecnologie. La DPIA, in particolare, è richiesta ad esempio nell’ipotesi di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Infine, un altro importante adempimento è quello relativo alla nomina del responsabile della protezione dei dati personali (RPD o data protection officer, DPO, artt. 37–39), obbligatoria per i soggetti privati qualora le attività principali consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.