La novità fondamentale per le PMI prevista dalla legge italiana di recepimento del GDPR, la norma europea sulla privacy, sono le semplificazioni annunciate. Il decreto legislativo approvato dal Governo lo scorso 8 agosto ha recepito le esigenze delle imprese di piccole dimensioni prevedendo modalità semplificate di attuazione dei nuovi obblighi. La parola ora passa al Garante che dovrà mettere a punto le regole per le MPMI. Nel frattempo, si attende ancora in Gazzetta il testo del decreto italiano.
In generale, la scelta dell’esecutivo è stata quella di adeguare alle norme europee la legge esistente, dlgs 196/2003. Fino a quando non si conoscerà con precisione il testo, regna una certa confusione, perché non è chiaro in che modo le norme nazionali sono state cambiate per adeguarsi al regolamento europeo, che rispetto al nostro Codice Privacy contiene novità in materia di obblighi e figure (titolare del trattamento, responsabile del trattamento, responsabile della protezione dei dati…) ma anche un cambiamento di paradigma, con l’introduzione del principio dell’accountability.
Il GDPR tiene conto delle dimensioni aziendali e, più nel dettaglio, della tipologia e quantità dei dati che l’impresa si trova a trattare, prevedendo obblighi meno stringenti.
Ad esempio, se non trattano dati personali su larga scala, le PMI non sono tenute alla nomina del responsabile della protezione dei dati (RPD). Stesso discorso per gli studi professionali.
In arrivo però, dovrebbero essersi ulteriori semplificazioni, che consentano a queste imprese di avere un quadro preciso e dettagliato dei nuovi eventuali obblighi e del modo in cui devono, eventualmente, adeguare le proprie policy.
Non si conoscono tutti gli ambiti di semplificazione su cui il Garante interverrà, ma il fatto che l’esecutivo in sede di approvazione del dlgs abbia indicato la necessità di un regolamento ad hoc per i titolari del trattamento fa pensare a un intervento che può toccare tutti gli aspetti legati alla gestione dei dati sensibili: obblighi di informativa, tenuta dei registri, trasferimento dei dati.
In ogni caso, al momento la situazione è la seguente: la legge in vigore, dallo scorso 25 maggio, è il GDPR europeo. Si attende il testo del nuovo Codice Privacy aggiornato in base al dlgs dell’agosto scorso per conoscere le norme di coordinamento. E si attende anche il nuovo Regolamento del Garante, in particolare sul fronte delle semplificazioni per le PMI.