Cookie free: nessun "biscotto" per spiare i lettori

Sanzioni, otto mesi di rinvio? Difficile e poco opportuno

Privacy e sicurezza - Manlio Cammarata - 25 giugno 2018

Un'analisi dei pareri delle Commissioni speciali sullo schema di decreto legislativo per l'adeguamento della normativa nazionale al GDPR è compito arduo e, tutto sommato, abbastanza inutile: il Governo potrebbe approvare il testo definitivo ben prima della scadenza del 21 agosto. Allora ci sarà molto da fare, oltre che da discutere.

A parte i dubbi sulla legittimità della proroga  (vedi Armonizzazione: il fantasma della delega prorogata di Paolo Ricchiuto), un punto attira subito l'attenzione. E' l'ultimo, sia nel testo del Senato sia in quello della Camera, e prevede che il Garante attui una sospensione "in ogni caso non inferiore a otto mesi" per le sanzioni alle imprese, "ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina".

E' subito chiaro che una norma di legge di questo tenore è impensabile, perché in assoluto contrasto con il GDPR, che non prevede alcun rinvio, neanche parziale, per la piena applicabilità alla scadenza del 25 maggio (scorso!).
Questo aspetto non sfugge alle Commissioni parlamentari, che infatti suggeriscono con prudenza "si valuti la possibilità che il Garante, in una fase transitoria..."

"Fase transitoria"? Dall'entrata in vigore del Regolamento ci sono stati due anni di "Fase transitoria". Tanto che lo stesso GDPR per gli Stati membri prevede la scadenza "al più tardi entro 25 maggio 2018" per la comunicazione delle disposizioni di legge adottate per l'armonizzazione delle norme sull'Autorità di controllo (art. 51) e per le sanzioni amministrative e pecuniarie (art. 83).

Ora il problema non è se il Garante abbia il potere di dichiarare un rinvio delle sanzioni (e per di più di tale durata!) o se questo non rientri nei suoi compiti, come stabiliti dal Regolamento.
Il problema è se un eventuale rinvio non finisca col comportare, di fatto, un ulteriore ritardo nell'adeguamento di molte imprese al GDPR.

Si sa che in Italia le sanzioni, purché certe ed effettive, sono l'unico strumento per "costringere" chiunque all'osservanza delle norme. La prospettiva di un rinvio dell'applicazione delle sanzioni sarebbe un'ottima scusa per rimandare ancora la completa applicazione del Regolamento UE di quasi un anno, considerando che il termine previsto dovrebbe avere effetto a partire dall'entrata in vigore dell'emanando decreto legislativo.

Sarebbe opportuno che il Garante, sempre prodigo di dichiarazioni, rendesse nota la sua posizione sull'argomento nel più breve tempo possibile. In questa fase è necessario limitare ogni incertezza sui modi e sui tempi degli adempimenti. Nei limiti del possibile, naturalmente, perché diverse questioni sono destinate a restare ancora a lungo in sospeso.

Si pensi solo alle informative web, quelle già adeguate al GDPR, che potrebbero (o dovranno) essere ancora modificate dopo l'approvazione del Regolamento sui trattamenti  nelle comunicazioni elettroniche, il regolamento "ePrivacy, che si voleva applicabile insieme al Regolamento generale.

Qualcuno arriva a ipotizzare che sia destinato a un sostanziale naufragio, per l'opposizione durissima degli Over The Top, i cui affari dal traffico dei Big Data subirebbero un brutto colpo (...brutto dal loro punto di vista) con le norme della prima proposta.
Il 4 maggio scorso è stata presentata una proposta emendata. Ne riparleremo presto.