A cura di Damiana Lesce, Paola Lonigro e Valeria De Lucia
Il Garante della Privacy, con un comunicato stampa del 19 aprile 2018, ha fatto luce sulla corretta interpretazione del provvedimento n. 121 del 22 febbraio 2018: nessuna moratoria di sei mesi per le sanzioni previste dal Regolamento Privacy n. 2016/679, operativo dal 25 maggio 2018.
La questione è sorta a seguito della pubblicazione del Provvedimento n. 121 del 22 febbraio 2018 [doc. web n. 8080493] che definisce le linee generali con cui il Garante svolgerà l’attività di monitoraggio e vigilanza sull’applicazione del Regolamento.
Nell’ultima parte del provvedimento si legge: “Considerato che la delega per l'attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l'applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall'entrata in vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data. Ciò anche al fine di consentire all'Autorità di poter acquisire informazioni dai titolari dei trattamenti effettuati per via automatizzata o tramite tecnologie digitali”.
Su internet sono apparse notizie che commentavano in modo non corretto il significato della frase di cui sopra, nel senso che il Garante avrebbe sospeso e/o prorogato (con un provvedimento amministrativo, aggiungiamo noi) l’efficacia di norme (il GDPR) aventi forza di legge.
Il Garante ha ritenuto, quindi, opportuno chiarire il senso della frase: “non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore (meglio, data di inizio di applicazione) del Regolamento europeo fissata al 25 maggio 2018”.
Tenuto conto del comunicato e considerato che il Provvedimento n. 121 disciplina “le modalità attraverso le quali il Garante stesso monitora l’applicazione del Regolamento e vigila sulla sua applicazione” la frase “sembra” allora doversi interpretare nel senso che il Garante non eserciterà i propri poteri di indagine per i 6 mesi successivi all’entrata in vigore del decreto legislativo di adeguamento.
Quanto sopra in un quadro normativo in cui, tenuto conto della efficacia immediata del Regolamento (come innanzi detto, avente forza di legge), non può che ritenersi che, a fronte di eventuali segnalazioni pervenute al Garante a partire dal giorno 26 maggior 2018, l’Autorità dovrebbe comunque procedere e, quindi, sussistendone i presupposti, applicare il nuovo regime sanzionatorio.
Qualcosa di simile si è verificato in Francia: l’Autorità garante francese (CNIL - Commission Nationale de l’Informatique et des Libertés) ha dichiarato l’istituzione di un grace period durante il quale non sanzionerà le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal Regolamento a condizione che i Titolari del trattamento dimostrino: di avere avviato un processo di GDPR compliance; che il ritardo è accumulato in buona fede; spirito di collaborazione con l’Autorità. Saranno, invece, immediatamente sanzionabili le condotte che violano principi invalsi da tempo nella normativa di privacy nazionali e confermati dal GDPR.
► Nel contesto di cui sopra, che fare? Certamente proseguire, se non ultimare, l’adeguamento al Regolamento in attesa che la normativa di raccordo tra il GDPR ed il Codice Privacy chiarisca (il decreto legislativo è oggi ancora in bozza) anche il tema di eventuali temporanee sospensioni del potere di controllo dell’Autorità.