Con la Gazzetta Ufficiale Serie Generale n.205 del 04-09-2018 è stato pubblicato il D. Lgs. n. 101 che “armonizza” la normativa nazionale (il nostro Codice Privacy D.Lgs. 196/2003) con le nuove norme del GDPR.

Sono subito fioccati gli articoli “sensazionalistici” sul web, annuncianti la moratoria di otto mesi per le sanzioni e la proroga per micro, piccole e medie imprese, in attesa che il Garante emani le linee guida per un’applicazione semplificata del GDPR.

Leggiamo bene i passaggi cui questi articoli paiono riferirsi:

Art. 154 bis Codice Privacy (riformato dal D.Lgs. 101) comma 4:

” In considerazione delle esigenze di semplificazione delle micro,
piccole e medie imprese, come definite dalla raccomandazione
2003/361/CE, il Garante per la protezione dei dati personali, nel
rispetto delle disposizioni del Regolamento e del presente Codice,
promuove, nelle linee guida adottate a norma del comma 1, lettera a),
modalita’ semplificate di adempimento degli obblighi del titolare del
trattamento”

nonché:
Art 22 comma d.lgs 101/2018 comma 13:

“Per i primi otto mesi dalla data di entrata in vigore del
presente decreto, il Garante per la protezione dei dati personali
tiene conto, ai fini dell’applicazione delle sanzioni amministrative
e nei limiti in cui risulti compatibile con le disposizioni del
Regolamento (UE) 2016/679, della fase di prima applicazione delle
disposizioni sanzionatorie”.

È evidente dunque che viene sempre fatta salva l’applicazione del GDPR che prevale su tutto, perché, come noto, non è una semplice direttiva, ma addirittura Legge Europea, immediatamente applicabile e vincolante in tutti gli stati membri, senza necessità di leggi nazionali di recepimento.

Ciò premesso, occorre innanzitutto chiarirci su quali effetti concreti potrà avere la c.d. “moratoria”.

Leggiamo che il Garante terrà conto “della fase di prima applicazione delle sanzione” non tanto per disapplicarle, ma per applicarle con una certa “benevolenza”, in considerazione della novità della norma (che è entrata in vigore, in realtà, oltre due anni fa).
Si avrà, quindi, come già accaduto in Francia, (come peraltro era stato già indicato nelle Linee guida del Comitato europeo (ex WP29) del 3 ottobre 2017) un’applicazione della norma ammorbidita, ma pur sempre applicata.

Le sanzioni, quindi, vi saranno, pur se contenute nell’ammontare, anche perché l’esclusione totale della sanzione sarebbe contraria alla norma europea, e quindi, in sua palese violazione, mentre il contenimento rientra sempre nel potere che il regolamento 679/2016 lascia alle singole Autorità di controllo (Garante, e quindi, ai singoli Stati Membri,che ne possono indirizzare l’operato), di quantificare l’ammontare della sanzione “concreta”, fissata dal GDPR solo nel massimo.

Occorre poi osservare che le tanto acclamate semplificazioni che spingono alcuni falsi profeti ad invitare micro, piccole e medie imprese ad astenersi dal fare alcunché, è lasciata a “linee guida” che il Garante “forse” emanerà.

Quel che è certo, invece, è il fatto che la c.d. moratoria (nei limiti già visti) durerà solo otto mesi (cioè fino al 19 maggio 2019) e che, finito tale periodo, non vi saranno più ulteriori “termini di grazia” per adeguarsi ed il Garante applicherà le sanzioni a “a pieno regime”.

Cosa succederà, quindi, se tra 8 mesi le famose linee guida di semplificazione del Garante non saranno state ancora emanate?

Come si legge chiaramente nei due passi appena riportati, prevarrà il GDPR, con la conseguente applicazione di sanzioni “piene” anche a imprese microscopiche, che neppure oggi sarebbero comunque esenti da sanzione.

Laddove, invece, in tale periodo il Garante avrà emanato le proprie linee guida di semplificazione le micro, piccole e medie imprese potranno beneficiarne.

Nel dubbio, però, non si può certo consigliare ad alcuna impresa, se pure microscopica, di stare alla finestra ad aspettare, anche perché il principio di responsabilizzazione fissato dal GDPR (accountability) costringe tutti da subito ad osservare almeno quanto era già obbligatorio (anche se ce ne eravamo bellamente dimenticati) anche prima del 25 maggio 2018.

Mi riferisco, in particolare, a tutto quanto già espressamente disciplinato dai vigenti provvedimenti del Garante, che l’art. 22, comma 4, del D. Lgs. 101/2018 fa espressamente salvi (vedi: adeguate misure di sicurezza dei dati, email e internet in azienda, amministratori di sistema, consensi per marketing, adempimenti videosorveglianza, GPS, RFID, ecc., Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, ecc.).

Ultima considerazione:

un buon consulente, in realtà, alla luce del GDPR e delle buone prassi fissate dai provvedimenti che il Garante aveva già emanato sotto la vigenza del Codice Privacy del 2003, è già in grado, fin da oggi, di indicare alle aziende una via applicativa di buon senso e quindi “semplificata”, per arrivare al 19 maggio 2019 (termine ultimo moratoria) già pronti e sereni.
Per curiosità, informo che il Garante Privacy ha già pubblicato il proprio piano ispettivo del secondo semestre del 2018, che vede al centro delle verifiche degli ispettori dell’Autorità i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni, le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach), i trattamenti di dati per attività di telemarketing [doc. web n. 9025338].
Avv. Francesco Cucci

 

 

Con me, dello stesso avviso:

Avv. Panetta (articolo sul corriere comunicazioni)

e anche

Avv. Reale (su Altalex)

 

 

logo-footer

P.IVA 02203350406

Cod. Fisc. CCCFNC66P18H294J