Legislazione, Semplificazione e Diritto d'Impresa

Venerdì 18 maggio scorso, la nostra struttura ha ricevuto dagli Uffici del Garante privacy una lettera, con la quale si dà riscontro al modello di registro delle attività di trattamento e alle richiesta di informazioni sulla figura del responsabile del trattamento inviata a seguito delle novità introdotte dalla Legge europea 2017 (v. allegato 1).

Quanto al modello di registro, la lettera ne conferma la struttura e l’impianto e condivide la scelta di supportarne la compilazione mediante il Glossario. La lettera, inoltre, contiene alcune indicazioni volte a meglio definire la portata dell’obbligo …. e le modalità di implementazione dello stesso. In particolare, le indicazioni riguardano:

• la portata dell’esonero dall’obbligo di tenuta del registro;
• la precisazione che tra i destinatari dei dati occorre considerare anche semplicemente per categoria di appartenenza i responsabili del trattamento;
• le ipotesi in cui è ammesso il trasferimento dei dati nei Paesi extra-UE;
• i trattamenti finalizzati al perseguimento di un legittimo interesse;
• la natura indicativa e non esaustiva delle misure di sicurezza indicate nel Glossario.  

Confindustria ha recepito tali indicazioni e aggiornato, con alcune puntuali integrazioni, sia il modello di registro, che il Glossario. In allegato, i documenti aggiornati.

All. 1 Riscontro GP - modello registro - 18.05.18.pdf

All. 2 GDPR - Modello registro attività di trattamento - Confindustria - Versione aggiornata.xlsx

All. 3 GDPR - Glossario Registro - Versione aggiornata.pdf

Di seguito, alcuni aggiornamenti sul dossier GDPR.

In primo luogo, con riferimento allo schema di Decreto Legislativo di adeguamento nazionale, si informa che il provvedimento è all'attenzione delle Commissioni speciali per l'esame degli atti del Governo del Senato e della Camera dei Deputati e in entrambe le Commissioni sono stati individuati i relatori: Sen. Perrilli (M5S) e On. Galli (Lega). 

Quanto all'iter, si evidenzia come lo schema di decreto sia stato assegnato alla Commissione del Senato il 14 maggio 2018 e a quella della Camera dei Deputati il 15 maggio 2018, pertanto, i 40 giorni per l'espressione del prescritto parere scadranno rispettivamente il 23 giugno 2018 e il 24 giugno 2018. Poichè il termine per l'espressione dei citati pareri scadrà successivamente alla scadenza del termine per l'esercizio della delega (previsto per il 21 maggio 2018), quest'ultimo dovrebbe intendersi prorogato di 3 mesi e, quindi, fissato al 21 agosto 2018 (v. art. 31, co. 3 e 33, co. 3 della legge n. 234/2012 sull'attuazione della normativa UE da parte dell'Italia). Di questa ricostruzione siamo comunque in attesa di conferma da parte dell'Ufficio di presidenza della Commissione del Senato, che si riunirà mercoledì pv.

In secondo luogo, si segnala che sul sito del Garante privacy è disponibile la procedura online per la comunicazione dei dati di contatto del DPO. Per agevolare i soggetti tenuti all'adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile - da non utilizzare per la comunicazione - che consente di familiarizzare con l'adempimento e verificare preliminarmente le informazioni richieste. Di seguito, il link alla sezione del sito dedicata alla procedura: https://servizi.gpdp.it/comunicazione-rpd/.

Infine, si riporta l'intervista al Presidente del Garante privacy, Antonello Soro, su Italia Oggi, 21 maggio 2018, che contiene alcune importanti riflessioni in ordine alle possibili reazioni agli illeciti privacy post 25 maggio. In particolare, nell'intervista, Soro sottolinea come nell'impianto delineato dal GDPR, la sanzione amministrativa sia una delle possibili risposte all'illecito, e non certo l'unica, e che la sua irrogazione debba avvenire secondo un approccio graduale, congiuntamente o alternativamente alle misure inibitorie e prescrittive. Inoltre, Soro afferma come anche la scelta sull'an della sanzione si baserà sugli stessi parametri indicati dal GDPR in ordine al quantum della stessa. In allegato, il testo dell'intervista.

Continueremo a monitorare gli sviluppi del dossier e a informarVi sui profili di interesse per le imprese.

All. Intervista Soro - ItaliaOggi 21.5.18.pdf

In vista dell’entrata in operatività del Regolamento europeo sulla protezione dei dati personali (cd. GDPR) prevista per il prossimo 25 maggio 2018, Confindustria ha organizzato il Seminario "GDPR ai nastri di partenza: cosa resta da fare?".

All’evento interverranno:

• Marcella Panucci, Direttore Generale - Confindustria;
• Bruno Gencarelli, Capo unità “Protezione e flussi internazionali di dati” - Direzione Generale Giustizia della Commissione europea;
• Giuseppe Busia, Segretario Generale - Autorità Garante per la protezione dei dati personali;
• Giusella Finocchiaro, Ordinario di diritto privato e di diritto di internet - Università di Bologna e Presidente della Commissione costituita presso il Ministero della Giustizia per la predisposizione del Decreto legislativo di adeguamento normativo nazionale al Regoalmento;
• Savino Figurati, Responsabile Ufficio Legale – Unione Industriale Torino.

Il Seminario si svolgerà in Confindustria, Viale dell'Astronomia n. 30, venerdì 11 maggio 2018 e verrà trasmesso in diretta streaming sul sito di Confindustria, cui sarà possibile accedere previo inserimento delle credenziali associative.

Di seguito, il link per l'iscrizione al Seminario: https://goo.gl/3u6BhC.

Stamattina Confindustria ha incontrato il Sen. Perrilli, Relatore alla Commissione speciale per l'esame degli atti del Governo sullo schema di D.Lgs di adeguamento al GDPR, al quale ha consegnato il proprio documento di osservazioni sul provvedimento (v. allegato).

Il Senatore ha affermato che è in programma un ciclo di audizioni, cui sarà coinvolta anche Confindustria; tuttavia, la particolarità del momento non consente di effettuare pronostici attendibili in ordine alla tempistica e agli sviluppi dell'iter (es. trasferimento dello schema di decreto alle Commissioni permanenti a seguito dell'insediamento del nuovo Governo). In ogni caso, Confindustria ha evidenziato la necessità di mantenere altra l'attenzione sul provvedimento, considerata la sua portata trasversale, nonchè gli effetti che il protrarsi una di situazione di incertezza giuridica può determinare sulle imprese.

Quanto al termine per l'esercizio della delega, anche il Dossier del Servizio Studi della Camera dei deputati conferma lo scorrimento dello stesso al 21 agosto 2018, per effetto della legge n. 234/2012 (v. pag . 11, http://www.senato.it/service/PDF/PDFServer/BGT/01067350.pdf).

Infine, di seguito, il link al parere del Garante privacy sullo schema di decreto, adottato il 22 maggio scorso http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9163359.

All. Schema D.Lgs  GDPR_Osservazioni Confindustria.pdf

Nell'ambito dei commenti alla proposta di Regolamento per il libero flusso dei dati (vedi blog 25/10/2017), abbiamo approfondito alcuni aspetti relativi alla tutela e gestione dei dati non personali, affermando il principio per cui, in caso di controversia si debba applicare la giurisdizione del paese in cui l’impresa proprietaria del dato abbia la sede legale. Contestualmente la legislazione nazionale, armonizzata a livello UE, dovrebbe assicurare la più ampia tutela di accesso e protezione dei dati non personali.

Si allega il documento di posizione.

 Posizione su dati non personali.pdf|Visualizza dettagli

Lettera congiunta Soro - maggio 2018.pdf

Lettera congiunta DAGL e Min. Giustizia - maggio 2018.pdf

Alleghiamo la posizione di Confindustria sul Pacchetto Merci, che contiene alcune proposte legislative per rafforzare la piena circolazione dei prodotti in Europa, tra cui: i) la proposta di Regolamento relativo al reciproco riconoscimento delle merci legalmente commercializzate in un altro Stato membro (COM 2017/796); ii) la Proposta di Regolamento che stabilisce norme e procedure per la conformità alla normativa di armonizzazione della UE relativa ai prodotti e per la sua applicazione (COM 2017/795).

Il documento è stato inviato al Dipartimento delle Politiche Europee della Presidenza del Consiglio dei Ministri che, insieme al Ministero dello Sviluppo Economico, coordina i lavori per definire la posizione nazionale da rappresentare in sede negoziale a livello europeo.

Osservazioni Confindustria Pacchetto Merci.pdf|Visualizza dettagli

Lo scorso 25 aprile, la Commissione europea ha pubblicato due proposte di direttiva sulle operazioni straordinarie transfrontaliere delle società e sulla digitalizzazione del diritto societario, entrambe di modifica della direttiva UE/2017/1132 relativa a diversi aspetti del diritto societario. In particolare, la prima proposta mira ad armonizzare le procedure di trasformazione e scissione e modifica la direttiva del 2005 sulle fusioni transfrontaliere; la seconda punta a rendere disponibili strumenti e processi digitali per la costituzione di società, l’apertura di succursali e il deposito di documenti societari.

Con riferimento a questi temi, BusinessEurope ha in programma un evento, calendarizzato per il prossimo 29 giugno, al quale prenderà parte anche Věra Jourová Commissario europeo per la giustizia, la tutela dei consumatori e l'uguaglianza di genere.

Proposta di direttiva sull'uso degli strumenti digitali nel diritto societario

Proposta di direttiva sulle operazioni straordinarie transfrontaliere

Nota di approfondimento - Pacchetto company law.pdf

In allegato, il modello di registro delle attività di trattamento ex art. 30 del GDPR, da diffondere tra le imprese associate e applicare nelle Associazioni (che in qualità di titolari del trattamento sono ugualmente destinatarie delle disposizioni del GDPR).

Il modello, predisposto nell’ambito delle attività del Gruppo di Lavoro “Privacy” di Confindustria, si compone di 2 parti, rispettivamente dedicate a:

• l’organigramma e all'eventuale adesione a Codici di condotta e/o a Meccanismi di certificazione. Quanto all’organigramma, il modello riporta tutte le figure che possono essere coinvolte nell’organizzazione privacy (es. Titolare, Contitolare, Rappresentante, DPO, Responsabile del trattamento, Sub-responsabile, Delegato), ma che non necessariamente sono presenti in tutti i contesti. Pertanto, in base alle caratteristiche della propria filiera privacy, ciascun Titolare del trattamento compilerà le sezioni di interesse, eliminando eventualmente quelle eccedenti;
• la descrizione dei trattamenti. Nel modello sono stati inseriti dei contenuti ulteriori rispetto a quelli minimi richiesti dall’art. 30 del GDPR; l’obiettivo è di agevolare mappatura dei trattamenti, prodromica alla compilazione del registro, la valutazione dell’adeguatezza delle attività privacy già in essere e l’individuazione delle necessarie misure tecniche organizzative.

Per supportare la mappatura dei trattamenti e la redazione del registro anche da parte di organizzazioni meno strutturate, è stato predisposto un glossario, allegato al registro, contenete esempi e commenti in ordine alle diverse sezioni dello stesso.

All. 1   GDPR - Modello registro attività di trattamento - Confindustria.xlsx

All. 2   GDPR - Glossario - Registro.pdf