L'acronimo "GDPR" sta per General Data Protection Regulation. Lo possiamo chiamare anche Regolamento UE Privacy e, come tutti i Regolamenti comunitari, a differenza delle Direttive, ha "forza di legge" negli Stati Europei senza necessità che vi sia una legge dello Stato a recepirlo.
Molte le novità: il concetto di accountability (responsabilizzazione e comprovabilità delle scelte, diverse, che deciderà di porre in essere ogni singola azienda), la privacy by design (ragionare di protezione dei dati, nei processi aziendali, fin da subito, fin dalla fase di progettazione), la nuova figura del DPO (il Data Protection Officer) che le aziende, che trattano e monitorano dati su larga scala, dovranno avere come consulente (interno o esterno) e come punto di contatto per Interessati e Garante. E poi, last but not least, l'inasprimento delle sanzioni che potranno arrivare sino all'ormai famoso 4 per cento del fatturato mondo.
Il GDPR è stato approvato quasi due anni fa, e si applicherà - lo prevede il GDPR stesso - a decorrere dal 25 maggio 2018. Insomma le aziende hanno avuto due anni di tempo per studiarlo, valutarne gli impatti, rivedere i processi, le procedure e la documentazione. Ed eccoci, ormai ci siamo.
Ma...
Ha iniziato la Francia.
L'Autorità garante francese (il CNIL) ha dichiarato che per n (io non ho capito quanti) mesi non sanzionerà le aziende inadempienti purché siano in buona fede, dimostrino di avere avviato un processo di adeguamento e uno spirito di collaborazione con l’Autorità. Resteranno sanzionabili, prosegue il CNIL, le condotte che violano le regole già consolidate da tempo nella normativa nazionale e confermate dal GDPR.
E noi, in Italia?
E certo, in tema di proroghe (ricordo che siamo la patria del decreto milleproroghe), l'Italia non poteva essere da meno. Ma noi abbiamo voluto trovare il modo di prorogare un po', non troppo; e senza dirlo.
E allora abbiamo fatto così:
La legge di bilancio (Legge n. 205/2017) assegna al Garante per la Protezione dei Dati Personali (l'Autorità garante italiana) il compito di monitore e vigilare sulla corretta applicazione del GDPR.
Come e con quali modalità? Con l'emanazione, entro due mesi dall'entrata in vigore della legge di bilancio (1 gennaio 2018), di un Provvedimento.
Intanto a novembre 2017 la Legge di delegazione europea (Legge n. 163/2017)aveva delegato il Governo a emanare, entro sei mesi, uno o più decreti legislativi per l'adeguamento della normativa nazionale alle disposizioni del GDPR.
Nel frattempo il Provvedimento del Garante (punto 2) c'è stato. Datato 22 febbraio 2018.
Mentre il decreto di armonizzazione (punto 3), complici anche le elezioni politiche del 4 marzo 2018, ancora no (il Consiglio dei Ministri, il 22 marzo 2018, ha approvato solo lo Schema preliminare).
E quindi, quale occasione più ghiotta per prorogare un po', non troppo; e senza dirlo? Il Provvedimento termina infatti così: "Considerato che la delega per l'attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l'applicazione del presente provvedimento fino a sei mesi dall'entrata in vigore del predetto decreto".
In sostanza: il Provvedimento che definisce modalità di monitoraggio e vigilanza sul GDPR c'è, ma è sospeso.
Sospesi monitoraggio e vigilanza, sono naturalmente impossibili le sanzioni che da quel monitoraggio e da quella vigilanza potrebbero derivarne.
Il Garante, con Nota del 19 aprile 2018, ha tenuto però a precisare:
"Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia.
Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018".
Prorogare un po', non troppo, e senza dirlo.
Naturalmente, per dovere di completezza, tutte le sanzioni non derivanti da monitoraggio e vigilanza saranno applicabili. E l'Interessato potrà sempre far causa in sede civile, ad esempio, per una richiesta di risarcimento danni nei confronti del Titolare e del Responsabile del trattamento. E il Giudice applicherà il GDPR, pienamente in vigore.
Le aziende dovranno quindi essere "GDPR compliant" entro il 25 maggio 2018. Ma, sino a data ancora da definirsi (6 mesi dopo l''entrata in vigore del decreto di armonizzazione ancora non emanato), il Garante non dovrebbe venire (il condizionale è d'obbligo) a far loro visita.
Italia: prorogare un po', non troppo; e senza dirlo.
Ma, se proprio anche in Italia volevamo prorogare, non potevamo fare come la Francia?