San Marino. L’Organizzazione Sammarinese degli Imprenditori condivide una riflessione sull’ adeguamento al GDPR Europeo n.2016/679 in materia di trattamento dei dati personali.
[c.s.] Imprese e trattamento dei dati personali: le sanzioni previste dalla proposta di legge sono troppo pesanti per la realtà sammarinese.
L’adeguamento al GDPR Europeo n.2016/679 in materia di trattamento dei dati personali e loro circolazione a tutela e protezione delle persone fisiche è presentato alla prima lettura nei lavori del corrente Consiglio Grande e Generale. In linea generale, assume, rendendoli propri, i dettami europei recentemente entrati in vigore nei Paesi dell’Unione, ma condividiamo a caldo qualche riflessione.
SANZIONI AMMINISTRATIVE PECUNIARIE – La mancanza di un confronto con la parte pubblica sul testo pubblicato non ci consente di capire su quali presupposti siano stati previsti i massimali delle sanzioni amministrative pecuniarie che l’Autorità Garante per la protezione dei dati personali può comminare a seguito delle attività ispettive e di accertamento a cui è tenuta. Ad una prima lettura, i 5 e 10 milioni o il 2% o 4% del fatturato totale annuo dell’esercizio precedente per le imprese, previsti a seconda delle tipologie di violazione, riferiti alle realtà presenti in Repubblica ci sembrano sproporzionati pur se dimezzati rispetto ai massimali previsti dal GDPR Europeo. Lo stesso Collegio Garante delle norme e della costituzionalità si è espresso in tal senso. Si potrà obiettare che essendo soglie massime si è inteso prevedere ogni tipo di casistica, in attesa degli auspicati ingressi nel tessuto economico sammarinese di grandi imprese, ma tale obiezione non dissipa affatto i timori, dal momento che la determinazione delle sanzioni è fortemente discrezionale. È basata, infatti, sulla valutazione di una serie di elementi che possono inasprire o alleggerire le sanzioni, a seconda dell’adozione o meno di misure tecniche e organizzative adeguate, dell’adesione ai possibili codici di condotta, del comportamento tenuto in fase ispettiva, di eventuali recidive, del danno provocato e di altri fattori di cui l’Autorità Garante dovrà tener conto negli accertamenti a carico delle aziende. Perché non prevedere con maggior dettaglio il peso delle tante variabili e stabilire una sorta di progressione, in modo da limitare gli ambiti discrezionali dando maggiori certezze alle imprese?
AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – Il progetto di legge prevede l’istituzione dell’Autorità Garante per la protezione dei dati personali, formata da 3 membri di nomina Consiliare, e di un Ufficio dell’Autorità dotato di risorse umane, soggette alle norme di pubblico impiego e dei rapporti di lavoro alle dipendenze dello Stato, nonché di risorse tecniche e finanziarie. Nel cassetto del Congresso di Stato – ricordiamo – giace il progetto di legge in materia di consumo, ampiamente discusso nel recente passato con tutti gli attori del territorio. Un vero e proprio sistema di norme che regolano i diversi ambiti e le svariate pratiche a garanzia e tutela di consumatori e utenti, compresi i contraenti deboli nei rapporti commerciali fra aziende. Ambiti e pratiche in cui i dati delle persone fisiche sono evidentemente raccolti e trattenuti. Perché non ragionare in modo allargato e strutturato, coordinando tutele e vigilanze a copertura delle attuali esigenze e mancanze, senza creare molteplici organismi e relativi ambiti di discrezionalità, sovradimensionati in una realtà come la nostra?
San Marino, 20 giugno 2018