Ook Italië implementeert GDPR in eigen wetgeving

Een na een implementeren de EU-lidstaten nationale wetgeving die de GDPR een plaats moeten geven in het nationaal rechtsstelsel en die de verschillende punten die GDPR openlaat invult onder lokaal recht. Ook de Italiaanse privacywetgeving die de GDPR integreert, is eindelijk geïmplementeerd en deze bevat enkele toch wel opmerkelijke punten.

De Italiaanse Privacywet verandert in functie van de GDPR

In plaats van de bestaande Italiaanse Privacywet te vervangen door een nieuwe op de GDPR geïnspireerde wet, heeft de Italiaanse overheid besloten om de bestaande Privacywet aan te passen om deze in lijn te brengen met de GDPR en volledige secties te vervangen door een kruisverwijzing naar de GDPR. Het resultaat is een zeer verwarrende en onduidelijke tekst, waar Italiaanse juristen op basis van de eerste commentaren duidelijk niet echt blij mee zijn.

De definities van bijzonder beschermde persoonsgegevens (“gevoelige gegevens”) is open gelaten

De Italiaanse gegevensbeschermingsautoriteit wordt verzocht een lijst met aanvullende eisen op te stellen die in acht moeten worden genomen bij de verwerking van genetische, biometrische en gezondheidsgerelateerde gegevens. Een dergelijke lijst zal om de twee jaar worden gepubliceerd en zal hoofdzakelijk specifieke technische maatregelen bevatten in termen van vereiste codering en anonimisering.

Het gevolg is rechtsonzekerheid voor wie dergelijke gegevens verwerkt in Italië. De voorwaarden o mdit te kunnen doen, kunnen immers slag om slinger wijzigen.

Een complexere interne compliance-organisatie is vereist

De Italiaanse Privacywet en ook de nieuwe GDPR wet kennen een specifieke functie van “interne gegevensverwerkers”, dat zijn personen die binnen elke afdeling van een bedrijf die belast zijn met het toezicht op de naleving van de privacywetgeving.

Ook bij interne gegevensuitwisseling binnen een bedrijf zijn er dus strenge complianceregels en dat creeërt vooral problemen voor buitenlandse bedrijven, die niet gewend zijn aan dergelijke vereisten.

Toestemming vereist voor direct marketing toestemming?

De Italiaanse wet blijft ongewijzigd voor wat betreft de vereiste expliciete toestemming voor marketingcommunicatie via e-mail en andere elektronische middelen, maar in de nieuwe wet worden nu ook strafrechtelijke sancties ingevoerd voor de schending van een dergelijke verplichting.

Een en ander is vreemd te noemen omdat enerzijds de overwegingen van de GDPR expliciet toestaan om direct marketing te baseren op het gerechtvaardigd belang in plaats op toestemming en anderzijds omdat de aankomende ePrivacyverordering precies de direct marketingregels wil uniformiseren in de EU… Italië zet zich met deze regelgeving dus in een afgezonderd hoekje ten opzichte van de andere lidstaten.

Een lichter regime voor middelgrote / kleine bedrijven?

De nieuwe Italiaanse privacywet bevat een hoofdstuk waar heel wat KMO’s in België al twee jaar om vragen, te weten vereenvoudigde modaliteiten om te voldoen aan de GDPR voor kleine en middelgrote ondernemingen.

Dit is geweldig nieuws voor Italiaanse kMO’s, maar de eerste commentaren zijn -terecht- dat een en ander te laat komt. De meeste bedrijven hebben inmiddels immers het meeste compliancewerk al gedaan… Bovendien is deze “vereenvoudiging” beperkt tot onderdelen die door de GDPR aan de lidstaten overgelaten worden. de basisverplichtingen onder GDPR zijn uniform in de EU en gelden ook voor Italiaanse KMO’s.

Een overgangsperiode van 8 maanden?

De Italiaanse gegevensbeschermingsautoriteit had gevraagd om in de wet een overgangsperiode op te nemen waarin zij geen boetes zou hoeven opleggen. Aangezien een dergelijke overgangsperiode een inbreuk op de EU-wetgeving zou zijn geweest, zegt de wet nu dat de Italiaanse gegevensbeschermingsautoriteit bij het opleggen van boetes “rekening zal mogen houden” met een periode van 8 maanden na de inwerkingtreding van de wet.

Dit is op zijn allerminst een zeer dubbelzinnige bepaling. Er is in elk geval de boodschap van de toezichthouder dat deze toleranter zal zijn tijdens deze eerste 8 maanden en een en ander dreigt toch ernstige ongelijkheid te creëren met ondernemers in andere lidstaten die door hun lokale wetgever geen -weze het ambiguë- overgangsperiode toegekend kregen…

Vragen over GDPR en databescherming in België, de EU en daarbuiten?

Neem gerust vrijblijvend contact op met ons team op gdpr@siriuslegal.be of op (+32) 02 721 13 00