Cookie free: nessun "biscotto" per spiare i lettori

GDPR, chi è più in ritardo, i Titolari o il legislatore?

Privacy e sicurezza - Andrea Gelpi - 21 maggio 2018

Paolo Ricchiuto, nell'articolo GDPR: dal Garante nemmeno i chiarimenti di base ha messo in luce due dei tanti problemi sollevati dai ritardi del Garante per la protezione dei dati personali. Ma sono dettagli, importanti, che danno solo un'idea parziale della situazione. Vediamo allora un breve riassunto, dal quale si vede che non solo il Garante è in ritardo.

Il regolamento EU 679/2016 entrato in vigore il 25 maggio 2016 (due anni fa!) all'art. 99 paragrafo 2, dice che "Esso si applica a decorrere da 25 maggio 2018."

Vista la situazione (che pare non riguardi solo l'Italia, ma la maggior parte dei Paesi UE), molti si aspettano una proroga. Ma di regola l'Unione non concede proroghe; semmai attiva procedure d'infrazione a chi non rispetta la normativa o non si adegua secondo i tempi previsti.

Il regolamento (GDPR) cambia il modo di porsi nei confronti dei trattamenti di dati personali e richiede la modifica di alcune parti del "Codice Privacy italiano". Da due anni stiamo tutti aspettando indicazioni su come il Codice si armonizzerà con il GDPR.

Il nostro Parlamento il 25 ottobre 2017, con la legge numero 163, delega il Governo ad emanare, entro 6 mesi uno o più decreti legislativi per l'armonizzazione. I sei mesi scadono il 21 maggio 2018, cioè oggi.

Il 29 marzo InterLex pubblica uno schema del decreto legislativo di armonizzazione che, come si può leggere in vari interventi, è zeppo di problemi di natura giuridica.

Il 19 aprile da varie fonti su internet si parla di un fantomatico provvedimento del Garante, che differirebbe i controlli o l'entrata in vigore del GDPR. Il Garante si affretta a smentire la notizia: "Nessuna pronuncia su differimento applicazione sanzioni".

Alla fine di aprile compare in televisione uno spot del Garante, che ricorda che il GDPR entrerà definitivamente in vigore il 25 maggio.

Il 7 maggio ancora InterLex pubblica un secondo schema, che risolve i problemi di incostituzionalità rilevati nel primo. 

Questo schema prevede che gli allegati A5 e A7 (codici deontologici) decadano se non saranno rivisti entro 6 mesi a partire dal 25 maggio, mentre per gli altri vengono dati al Garante 90 giorni per la revisione. Anche le autorizzazioni generali dovranno essere riviste entro 90 giorni a partire dal 25 maggio. Non vanno poi dimenticati i moltissimi provvedimenti del Garante che continuano a restare in vigore se non in contrasto con il GDPR (ma potrebbero sorgere molti dubbi sull'effettiva rispondenza al testo europeo).

Ai primi di maggio lo schema di decreto viene finalmente inviato alle Camere per il "parere" delle Commissioni (provvisorie), a pochi giorni dalla scadenza del termine (vedi Decreto privacy, possibili tre mesi di proroga?).

Escluso che il provvedimento possa essere approvato ed emanato dal Governo entro la giornata di oggi, siamo di fronte a una situazione a dir poco confusa. In particolare, non vi è ancora traccia delle certificazioni previste dall'art 42 del GDPR, né dei codici di condotta previsti dall'art. 40. Non risulta chiaro come si dovrà procedere con i provvedimenti del Garante che sono o in contrasto o non perfettamente allineati con il GDPR.

In conclusione mi domando se veramente saranno solo i cittadini o le aziende colpevoli per i ritardi nell'applicazione del Regolamento e quindi i soli ad essere eventualmente sanzionabili.
Mio padre, cresciuto politicamente alla scuola di De Gasperi, era solito dire che lo Stato per primo dovrebbe dare il buon esempio. Mi pare che in questa vicenda non sia stato proprio dato il buon esempio.
Aggiungo io che un vecchio adagio dice "chi sbaglia paga". Ma in questo caso forse non vale.