Privacy, decreto attuativo slitta ad agosto ma obblighi e sanzioni restano. Ecco i chiarimenti
(da Doctor33) «Una proroga che ci voleva, dà tempo alle imprese di adeguarsi». E’ il commento raccolto tra i data protection officer, i futuri “esperti di privacy” di ritorno in treno dall’incontro a Bologna con il Garante; è appena arrivata la notizia che il decreto attuativo per chiarire e adeguare al quotidiano italiano il regolamento europeo slitta al 21 agosto. Alla Camera e al Senato le due Commissioni speciali per gli atti urgenti del Governo hanno preferito rimandare la norma, troppo scivoloso agire a fronte di uno schema di testo “arrivato troppo tardi” dal Garante. A questo punto liberi tutti per tre mesi? In realtà, a parte il fatto che nelle parole del Garante Antonello Soro il decreto doveva e dovrebbe semplificare la vita a piccole imprese e professionisti, il regolamento 679/2016 una volta entrato in vigore -cioè da ieri – è legge e sono legge tutti gli obblighi che comporta: valutazione d’impatto dei trattamenti che include le misure di messa in sicurezza e per la prevenzione del “data breach”, revisione delle informative, registro dei trattamenti con revisione e completamento dei dati di titolare e incaricati, e naturalmente le sanzioni.
Chiunque subisca un danno materiale o immateriale causato da una violazione ha il diritto di ottenere il risarcimento ai sensi del regolamento Ue e non più del testo unico sulla privacy del 2003 che per le norme riviste a Bruxelles non vale più. Il garante può dunque infliggere sanzioni pecuniarie che vanno fino a un massimo di 20 milioni (e al 4% del fatturato per le multinazionali), tenendo conto della natura e gravità della violazione, del carattere doloso o colposo, delle misure adottate dal titolare del trattamento per evitarle, di eventuali recidive, del grado di cooperazione: in caso di violazione dei dati personali, ad esempio in studio, un medico titolare del trattamento deve notificare la violazione al Garante entro 72 ore dacché ne eÌ a conoscenza e se ci sono rischi di lesioni a diritti, deve comunicare tutto al paziente. Ma allora in questi tre mesi il vuoto normativo può portare una situazione di sanzionabilità senza precedenti? Sembrano pensarla così i presidenti della Fnomceo Filippo Anelli e della Commissione Albo Odontoiatri Raffaele Iandolo che ieri hanno scritto al garante lamentandosi dell’incertezza. Lo slittamento,commenta Iandolo«non aiuta a creare un clima di chiarezza e a dare certezze ai cittadini e ai professionisti. Penso ovviamente in particolare agli odontoiatri, che, nel nostro paese, sono ancora in gran parte liberi professionisti che lavorano in uno studio monoprofessionale».
Vista dai DPO, in realtà, se si eccettuano le imprese che maneggiano dati su larga scala e annunciano di voler chiudere perché troppo piccole e povere per assumere un data officer (ce ne sono tra i micro-provider di servizi telefonici, giochi online etc) la situazione non pare foriera di danni. «O meglio bisogna distinguere, rientrano nell’ambto di immediata applicazione del regolamento gli adempimenti richiesti già dal testo unico del 2003 e cioè le informative, da adeguare se presentano lacune, e le misure di messa in sicurezza», spiega il data officer, proveniente dal settore dei responsabili dei servizi di protezione e prevenzione sul lavoro, che chiede l’anonimato «perché fino a che non esce il decreto troppo è il margine lasciato alle interpretazioni e al buon senso. Sul DPO si può aspettare. O meglio, deve nominarlo chi tratta dati su larga scala, mentre chi – come il medico singolo o in gruppo – si trova nel dubbio se farlo per legge o solo perché “raccomandato” dal Garante ha tre mesi di respiro in più. Ed è anche possibile che una volta uscito il decreto attuativo, lui sì, detti ulteriori tempi di adeguamento. Invece la compilazione del registro dei trattamenti con l’indicazione di chi tratta cosa e con quali accorgimenti e limiti, nello studio del medico e del dentista è obbligatoria, perché si maneggiano dati di salute, i “dati sensibili”».