È necessario fare qualche chiarimento poiché in materia di legislazione sulla protezione dei dati personali notiamo che in giro c’è ancora un po’ di confusione.
Premessa.
Tutto quello che segue non ha niente a che fare con critiche al governo né vogliamo mostrare disapprovazione nei confronti di questo o quel partito politico, non perché temiamo di esprimere liberamente le nostre opinioni, semplicemente perché questo articolo non ha quel tenore.
Se proprio qualcuno ci tira per la cosiddetta giacchetta, beh, allora diciamo pure che questo governo non ha per il momento nemmeno mostrato la più pallida idea di un progetto di sviluppo economico… OK, let’s digress dicono gli inglesi e tuffiamoci nel complicato intrigo della disciplina sulla Privacy.
Che cosa ne è del Decreto Legislativo 196 del 2003?
La risposta più semplice e più naturale è che il famoso D. Lgs 196/2003 che disciplinava in Italia la riservatezza e protezione dei dati personali fino al 24 Maggio 2018 non è più valido, visto che dal 25 Maggio 2018 il Reg. UE 2016/679 GDPR è entrato in vigore.
Il regolamento europeo 679 è del 27 Aprile del 2016 e l’Italia, insieme agli altri Paesi della UE, lo aveva allora votato e approvato ovviamente. Si era dunque stabilito che questo regolamento avrebbe soppiantato la corrente legislazione una volta reso effettivo, ovvero dal 25 Maggio 2018. Anzi, il regolamento fu deciso proprio per uniformare la legislazione in materia di protezione dei dati personali in tutta l’Unione Europea in modo da avere un unico strumento per favorire lo sviluppo del mercato digitale.
Ergo, il D. Lgs. 196/2003 non è più il codice che regolamenta la riservatezza dei dati personali!
Infatti, il precedente governo, in data 21 Marzo 2018, aveva emanato il seguente comunicato qui riprodotto:
ABROGATO il Codice della Privacy (Dlgs 196/2003) dal 25 maggio 2018
Comunicato stampa del Consiglio dei Ministri n. 75 del 21 Marzo 2018
CODICE DELLA PRIVACY
Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare)
Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Per chi volesse qui è disponibile il testo in pdf Comunicato-Stampa-Consiglio-Ministri-21-marzo-2018
Il precedente governo aveva inserito questo avviso in una pagina del sito istituzionale, questa qui di seguito indicata: http://www.governo.it/articolo/comunicato-stampa-del-consiglio-dei-minis…
Tuttavia, attualmente questo link presenta un avviso di accesso negato, abbiamo indicato con una freccia l’avvertimento sulla pagina nello screenshot qui sotto
Se poi andate a visionare la pagina della Privacy Policy, almeno fino alla data di pubblicazione di questo articolo risulta che non è stata aggiornata alla nuova disciplina GDPR ma è appunto ferma al vecchio decreto legislativo 196 del 2003.
Tanto per non farsi mancare niente, il sito del governo, è pure mancante di certificato SSL per la crittografia dei dati. Forse non gliene frega niente delle penalizzazioni di Google e forse — ma solo forse — ancora meno della sicurezza dei dati e dei dati degli utenti che lo visitano.
Il Garante per la Privacy.
Se invece andate a visitare il sito del Garante per la Privacy, che è l’Autorità di Vigilanza in questione, noterete che la pagina della Privacy Policy è giustamente adeguata alla nuova disciplina GDPR, come giusto che sia!
Per quanto riguarda il certificato di sicurezza, SSL il sito del Garante ne ha installato uno del tipo che valida non solo il dominio ma anche il proprietario del dominio, cosa che a meno non abbiate un sito e-commerce che registra i dati delle carte di credito non è per voi necessaria giacché basta uno del tipo DV (domain validation).
Il sito del Governo appare essere dunque in deficit in quanto a conformità GDPR.
Consigli utili, anzi utilissimi!
Naturalmente, non prendete esempio dal sito del Governo. Se la vostra Privacy Policy è ancora impostata sulla vecchia normativa, adeguatela al regolamento GDPR.
Seguite l’esempio del Garante, che in materia se ne intende, visto che è anche l’Autorità che ci sanziona in caso di irregolarità. Ovviamente, non copiate la Policy del Garante, e non copiate quella di nessun altro sito. Non tanto per non incorrere nel reato di violazione di copyright, di cui non è nemmeno il caso specifico, quanto per non essere “non conformi”. La Privacy Policy del vostro sito deve presentare caratteri di adeguatezza a quello che esattamente fa il vostro sito. E chiaramente, aggiungiamo che non basta una Privacy Policy sul sito per rendere conforme la vostra attività alla nuova disciplina GDPR. Ci sono un bel po’ di altre cosette da sistemare.
Conclusioni.
Crediamo e speriamo di essere stati chiari. In questo mondo di confusione, dove perfino chi dovrebbe dare il buon esempio non sa infine cosa fare, può indurre i cittadini e le aziende a comportamenti sbagliati e quindi sanzionabili. Ma è tutto davvero chiaro? Nemmeno per sogno!! Pare invece, che il D. Lgs. 196/2003 sia ancora in vigore, non più nella sua versione originaria ma in quella modificata dal D. Lgs. 101/2018 che tiene conto della disciplina GDPR. Quindi, se vedete ancora citato il D. Lgs. 196/2003 sappiate che è valido. Eppure il documento del governo di cui sopra parla di abrogazione ma… In materia legale non ci si può mai fidare. Sta di fatto – questo è certo – che la disciplina legale che regolamenta la protezione dei dati delle persone fisiche è quella imposta dal Reg. UE 679 del 2016, ovvero il GDPR.
In questa materia, come peraltro in tutto ciò che riguarda questioni tecniche e legali, rivolgetevi ad esperti del settore e nel caso specifico consultate siti appropriati per le informazioni sulla normativa, come ad esempio il sito EUR-lex, il sito della Commissione Europea, il sito del Garante.
E ricordate, la conformità al GDPR non è un requisito volontario, è un obbligo di legge per tutte le imprese. Contattateci per eventuali informazioni e soluzioni per la vostra azienda.