Il decreto delegato del 30 aprile 2021, n.84 trova la sua ratio nella semplificazione della Legge n. 171/2018 in materia di protezione dei dati personali delle persone fisiche, a distanza di più di due anni dalla sua entrata in vigore (ne avevamo parlato nell’articolo “IL GDPR sbarca nella Repubblica di San Marino“).

Le modifiche introdotte riguardano essenzialmente l’Autorità Garante e le sue funzioni, andando a modificare sia gli aspetti riguardanti la collaborazione tra Autorità e Titolari del trattamento, sia il meccanismo sanzionatorio.

IL NUOVO RUOLO DEL GARANTE
L’esigenza di semplificazione – invocata da operatori e associazioni di categoria – trova ora ascolto nel novellato art. 58 bis della L. 171/2018, onerando l’Autorità Garante del compito di pubblicare, sul proprio sito web, linee guida, raccomandazioni o prassi da adottare al fine di semplificare gli adempimenti previsti dalla normativa privacy per le micro, piccole e medie imprese.

L’intervento normativo delinea altresì il nuovo volto dell’Autorità Garante, che ricoprirà un ruolo attivo di collaborazione con il Titolare del trattamento e non più una funzione di “mera” vigilanza sul rispetto della L. 171/2018. In particolare, il Garante potrà intervenire di propria iniziativa o su richiesta del Titolare del trattamento e/o al responsabile del trattamento e/o al responsabile della protezione dei dati, rilasciando pareri in ordine agli adempimenti previsti dalla normativa privacy.

L’ISTITUTO DEL “RAVVEDIMENTO”
Di particolare importanza per le aziende ed i professionisti sammarinesi è la nuova formulazione dell’art. 73 della L. 171/2018 in materia di sanzioni.

Il citato articolo prevede che l’Autorità Garante possa concedere un termine al destinatario del procedimento per violazioni della Legge n. 171/2018, non superiore a sei mesi, per adeguarsi ex post alla normativa sulla protezione dei dati personali. Diversamente, in relazione alle violazioni accertate nell’anno 2021 e nel primo semestre dell’anno 2022, il nuovo art. 128, stabilisce che il termine di adeguamento non potrà essere inferiore alla data del 30/06/2022 con riferimento alle violazioni accertate nel 2021 e del 31/12/2022 con riferimento alle violazioni accertate nel primo semestre 2022.

Il fine di questa disposizione è consentire all’azienda o al professionista di evitare una sanzione da parte dell’Autorità Garante. Tuttavia, il Titolare del trattamento dovrà comunque dimostrare di aver eseguito gli adempimenti necessari e documentare la conformità alla normativa privacy ai fini del superamento della violazione contestata.

In tal modo viene consentito ai Titolari del trattamento sammarinesi di evitare sanzioni ricalcando il principio cardine sia della 171/2018 che del Reg. UE 679/2016 (GDPR) alla quale la stessa normativa sammarinese si ispira, ossia il principio della c.d. “accountability” (“rendicontazione” o “responsabilità verificabile”):

Decorso detto termine l’Autorità Garante:
a) qualora ravvisi il superamento della violazione contestata, pone termine al procedimento mediante l’adozione di un atto espresso e non applica alcuna sanzione;
b) qualora ritenga che gli adempimenti posti in essere dal destinatario non siano sufficienti al superamento della violazione ovvero il destinatario non abbia posto in essere alcun comportamento atto a superare la violazione nel termine prescritto, procede all’irrogazione della sanzione.

Il nuovo comma 4 prescrive che “alle violazioni connotate da eccezionale gravità in ragione del grado di responsabilità del titolare e/o delle categorie dei dati interessati e per le quali sussista il concreto pericolo di reiterazione” l’Autorità Garante procederà direttamente ed immediatamente all’adozione degli opportuni provvedimenti sanzionatori ed inibitori senza concessione di alcun termine. Ad una prima interpretazione, l’esclusione del “congruo termine” sarà prevista in tutti quei casi in cui la violazione, che dovrà essere grave, sarà commessa da Titolari del trattamento il cui core business è rappresentato dal trattamento di dati personali, in ragione anche del numero degli interessati coinvolti e delle categorie di dati trattati (ad esempio, dati particolari ex art. 9 L. 171/2018).

La nuova normativa oltre a prescrivere l’effettività e la proporzionalità delle sanzioni amministrative pecuniarie inflitte, introduce la facoltà di oblazione volontaria ex art. 33 della Legge 28 giugno 1989 n.68 mediante il pagamento della metà della sanzione irrogata, salvo il caso di recidiva. A tal fine, la norma chiarisce che è recidivo chi “nei cinque anni precedenti la violazione contestata, risulti aver commesso la medesima violazione.

Le modifiche normative intercorse concedono al Titolare del trattamento sammarinese una finestra temporale, nella quale adeguarsi alla Legge n. 171/2018 in materia di protezione dei dati personali delle persone fisiche.

ATTENZIONE AL RISPETTO DEL GDPR
In ogni caso, è fondamentale ricordare che tali modifiche non investono in alcun modo il rispetto del Regolamento UE n. 679/2016. Infatti, l’art. 3 del Regolamento europeo stabilisce che la normativa privacy comunitaria si applica al trattamento dei dati personali dei cittadini europei anche quando tale trattamento viene effettuato da titolari o responsabili del trattamento (leggi: imprese e professionisti) stabiliti extra UE. Ne discende che i Titolari del trattamento sammarinesi, i quali abitualmente trattano dati personali di soggetti siti in Italia o in altri paesi Ue, devono continuare a rispettare il GDPR senza alcuna concessione di ulteriori termini. Allo stesso modo, si ricorda, ai sensi degli artt. 3 e 27 del Regolamento, gli stessi soggetti sono tenuti anche alla nomina del Rappresentante UE al fine di istituire un punto di contatto tra il Titolare del trattamento estero e l’Autorità Garante europea.

Il decreto delegato del 30 aprile 2021, n.84 trova la sua ratio nella semplificazione della Legge n. 171/2018 in materia di protezione dei dati personali delle persone fisiche, a distanza di più di due anni dalla sua entrata in vigore (ne avevamo parlato nell’articolo “IL GDPR sbarca nella Repubblica di San Marino“).

Le modifiche introdotte riguardano essenzialmente l’Autorità Garante e le sue funzioni, andando a modificare sia gli aspetti riguardanti la collaborazione tra Autorità e Titolari del trattamento, sia il meccanismo sanzionatorio.

IL NUOVO RUOLO DEL GARANTE
L’esigenza di semplificazione – invocata da operatori e associazioni di categoria – trova ora ascolto nel novellato art. 58 bis della L. 171/2018, onerando l’Autorità Garante del compito di pubblicare, sul proprio sito web, linee guida, raccomandazioni o prassi da adottare al fine di semplificare gli adempimenti previsti dalla normativa privacy per le micro, piccole e medie imprese.

L’intervento normativo delinea altresì il nuovo volto dell’Autorità Garante, che ricoprirà un ruolo attivo di collaborazione con il Titolare del trattamento e non più una funzione di “mera” vigilanza sul rispetto della L. 171/2018. In particolare, il Garante potrà intervenire di propria iniziativa o su richiesta del Titolare del trattamento e/o al responsabile del trattamento e/o al responsabile della protezione dei dati, rilasciando pareri in ordine agli adempimenti previsti dalla normativa privacy.

L’ISTITUTO DEL “RAVVEDIMENTO”
Di particolare importanza per le aziende ed i professionisti sammarinesi è la nuova formulazione dell’art. 73 della L. 171/2018 in materia di sanzioni.

Il citato articolo prevede che l’Autorità Garante possa concedere un termine al destinatario del procedimento per violazioni della Legge n. 171/2018, non superiore a sei mesi, per adeguarsi ex post alla normativa sulla protezione dei dati personali. Diversamente, in relazione alle violazioni accertate nell’anno 2021 e nel primo semestre dell’anno 2022, il nuovo art. 128, stabilisce che il termine di adeguamento non potrà essere inferiore alla data del 30/06/2022 con riferimento alle violazioni accertate nel 2021 e del 31/12/2022 con riferimento alle violazioni accertate nel primo semestre 2022.

Il fine di questa disposizione è consentire all’azienda o al professionista di evitare una sanzione da parte dell’Autorità Garante. Tuttavia, il Titolare del trattamento dovrà comunque dimostrare di aver eseguito gli adempimenti necessari e documentare la conformità alla normativa privacy ai fini del superamento della violazione contestata.

In tal modo viene consentito ai Titolari del trattamento sammarinesi di evitare sanzioni ricalcando il principio cardine sia della 171/2018 che del Reg. UE 679/2016 (GDPR) alla quale la stessa normativa sammarinese si ispira, ossia il principio della c.d. “accountability” (“rendicontazione” o “responsabilità verificabile”):

Decorso detto termine l’Autorità Garante:
a) qualora ravvisi il superamento della violazione contestata, pone termine al procedimento mediante l’adozione di un atto espresso e non applica alcuna sanzione;
b) qualora ritenga che gli adempimenti posti in essere dal destinatario non siano sufficienti al superamento della violazione ovvero il destinatario non abbia posto in essere alcun comportamento atto a superare la violazione nel termine prescritto, procede all’irrogazione della sanzione.

Il nuovo comma 4 prescrive che “alle violazioni connotate da eccezionale gravità in ragione del grado di responsabilità del titolare e/o delle categorie dei dati interessati e per le quali sussista il concreto pericolo di reiterazione” l’Autorità Garante procederà direttamente ed immediatamente all’adozione degli opportuni provvedimenti sanzionatori ed inibitori senza concessione di alcun termine. Ad una prima interpretazione, l’esclusione del “congruo termine” sarà prevista in tutti quei casi in cui la violazione, che dovrà essere grave, sarà commessa da Titolari del trattamento il cui core business è rappresentato dal trattamento di dati personali, in ragione anche del numero degli interessati coinvolti e delle categorie di dati trattati (ad esempio, dati particolari ex art. 9 L. 171/2018).

La nuova normativa oltre a prescrivere l’effettività e la proporzionalità delle sanzioni amministrative pecuniarie inflitte, introduce la facoltà di oblazione volontaria ex art. 33 della Legge 28 giugno 1989 n.68 mediante il pagamento della metà della sanzione irrogata, salvo il caso di recidiva. A tal fine, la norma chiarisce che è recidivo chi “nei cinque anni precedenti la violazione contestata, risulti aver commesso la medesima violazione.

Le modifiche normative intercorse concedono al Titolare del trattamento sammarinese una finestra temporale, nella quale adeguarsi alla Legge n. 171/2018 in materia di protezione dei dati personali delle persone fisiche.

ATTENZIONE AL RISPETTO DEL GDPR
In ogni caso, è fondamentale ricordare che tali modifiche non investono in alcun modo il rispetto del Regolamento UE n. 679/2016. Infatti, l’art. 3 del Regolamento europeo stabilisce che la normativa privacy comunitaria si applica al trattamento dei dati personali dei cittadini europei anche quando tale trattamento viene effettuato da titolari o responsabili del trattamento (leggi: imprese e professionisti) stabiliti extra UE. Ne discende che i Titolari del trattamento sammarinesi, i quali abitualmente trattano dati personali di soggetti siti in Italia o in altri paesi Ue, devono continuare a rispettare il GDPR senza alcuna concessione di ulteriori termini. Allo stesso modo, si ricorda, ai sensi degli artt. 3 e 27 del Regolamento, gli stessi soggetti sono tenuti anche alla nomina del Rappresentante UE al fine di istituire un punto di contatto tra il Titolare del trattamento estero e l’Autorità Garante europea.