Nuova privacy, ancora pochi giorni per adeguarsi: ecco cosa rischiano le aziende

Entrerà in vigore il 19 settembre il nuovo decreto legge che coordina l'ultima versione del Codice Privacy. Pochi giorni ancora per adeguarsi anche se poi il Garante dovrà indicarne le linee. Coinvolti tutte le piccole, medie e grandi imprese ma anche i professionisti. Tutti coloro, cioè, che per lavoro hanno a che fare con dati sensibili. Previste sanzioni salatissime per i trasgressori: fino a 10 milioni di euro o il 2% del fatturato dell'impresa per violazioni, ad esempio, in caso di mancata informativa con linguaggio semplificato per i minori di 14 anni in caso di offerta di servizi, oppure 20 milioni di euro o il 4% del fatturato se per il trattamento non adeguato di dati relativi a condanne penali e reati. Si rischia anche il penale ed è bene stare molto attenti. Per fare chiarezza ne abbiamo parlato con Mario Fusario, avvocato anconetano che sta seguendo da vicino l'intera faccenda. Soprattutto per quanto riguarda le imprese. Divise per micro (meno di 10 dipendenti e fatturato inferiore ai 2 milioni), piccole (meno di 50 dipendenti, fatturato sotto i 10 milioni) e medie (con un numero di dipendenti inferiore alle 250 unità e con un fatturato annuo non inferiore ai 10 milioni di euro).  «Le imprese con un numero di dipendenti superiori ai 250 dipendenti devono nominare un Dpo (Data protection officer) e devono adottare un Registro del trattamento – spiega Fusario - Ricordiamo che l’adeguamento al GDPR è richiesto dal 25 maggio 2018 e che tra i principi ispiratori c’è quello dell’adeguatezza delle misure adottate rispetto alle capacità organizzative ed economiche del Titolare del Trattamento, nell’ottica della responsabilizzazione di tutta la filiera dedicata al trattamento dei dati personali».

«Le pmi dunque - aggiunge il legale - non sono esentate dall’adeguarsi, al contrario, proprio dal 25 maggio scorso dovrebbero aver adottato le misure necessarie per l’adeguamento al GDPR: in molti pensano che si tratti solo di adempimenti burocratici, come la modifica dell’informativa ma non è solo questo». All'interno del registro dei trattamenti devono essere indicate «le finalità del trattamento – prosegue il legale - le modalità, la durata ed altre informazioni relative al trattamento di dati che possa presentare un rischio per i diritti e la libertà dell’interessato - e l’esecuzione (Privacy by default) che deve riguardare l’azienda ed i dipendenti che devono (sempre nell’ottica della responsabilizzazione) avere chiaro le modalità del trattamento legittimo e le prassi adottate in azienda». I controlli sono stati affidati alla Guardia di Finanza ed è prevista la configuarazione di vari reati penali se si ipotizza che dietro la condotta ci sia il fine di fare profitto con i dati personali: il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, false dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio di poteri del Garante, inosservanza di provvedimenti del Garante e violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.