Il 25 maggio prossimo entra in vigore la nuova normativa in fatto di tutela dei dati personali e della riservatezza, comunemente nota come Privacy, che si rifà a regolamento europeo (cosiddetto “Gdpr”) che conviverà con la norma attuale, probabilmente ingenerando confusione e conflitti tra le norme fin tanto che non sarà emanato un testo unico di riferimento.
Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (noto come GDPR – General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tale provvedimento abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), da cui è derivato il decreto legislativo 30 giugno 2003, n. 196 (c.d. Codice in materia di protezione dei dati personali). Il suo percorso, però, è risultato in continua salita. Nato con l’intento di regolarizzare soprattutto le attività di marketing e profilazione svolte dai grandi gruppi societari, rischia di penalizzare le piccole imprese, che in Italia sono la stragrande maggioranza del tessuto produttivo, oltre cheil mondo delle professioni, specie quelle del campo sanitario.
Se il Parlamento non interverrà, l’attuale codice della privacy (il decreto legislativo 196 del 2003) non andrà in pensione, ma sopravvivrà opportunamente mondato dalle parti inconciliabili con il regolamento europeo. Una funzione di raccordo tra le due norme dovrebbe essere svolta dal decreto legislativo appena depositato dal Governo presso le due commissioni speciali del Parlamento, dove sono state reintrodotte le sanzioni penali – non previste nella prima versione del decreto approvata in via preliminare dal Consiglio dei ministri del 21 marzo – che si affiancano a quelle amministrative. Addio alla depenalizzazione pensata dalla commissione che aveva predisposto la prima bozza, così come è stata abbandonata l’idea di abrogare il codice della privacy e far confluire nel decreto tutte le norme nazionali compatibili con il regolamento Ue. Una soluzione che avrebbe consentito di avere un sistema più semplice, ma così non è stato, almeno fino ad oggi.
Tocca al Parlamento operare in una corsa per evitare che il sistema delle imprese e delle professioni vengano travolte da una serie di adempimenti che sembrano fatti apposta solo per incasinare ancora più di quanto sia oggi la vita burocratica di imprenditori e professionisti.
E le associazioni di categoria sono particolarmente attive per “catechizzare” i loro affiliati sui nuovi obblighi di legge in fatto di tutela dei dati personali, che riguardano tutti, specie coloro che trattano dati sensibili, come le iscrizioni al sindacato (praticamente tutti i datori di lavoro) e i dati connessi con la salute delle persone (dai medici agli operatori del benessere). Di fatto, ci sarà un aumeto delle complicazioni, che dovranno partire dall’analisi dei trattamenti dei dati in corso, cui dovrà fare seguito l’aggiornamento della modulistica relativa all’informativa e al consenso. A questo, ma riguarda le realtà più strutturate e quelle con più di 250 addetti, c’è l’obbligo della nomina di un responsabile delle procedure inquadrato a livello apicale, oppure la delega ad un consulente esterno, oltre che responsabilizzare tutti gli operatori a contatto con i dati. Il tutto per non incappare nelle sanzioni in capo ai responsabili del trattamento dei dati personali, in pratica i titolari delle imprese, che possono andare fino a 10 milioni di euro o il 2% del fatturato mondiale o fino a 20 milioni di euro e il 4% del fatturato mondiale, in base alle violazioni effettuate.