A poco più di tre settimane dalla piena operatività del GDPR, prevista per il 25 maggio 2018, grande è la confusione sotto il cielo. Purtroppo e contrariamente al dictum di Confucio, la situazione è tutt’altro che eccellente, a cominciare dallo stesso GDPR: un testo complesso, ibrido frutto di ben 170 considerando e 99 articoli, dalle disposizioni non sempre di facile lettura, se non un monstrum da ascrivere di pieno diritto alla teratologia del processo legislativo in sede europea.

A rendere complicato e difficile semmai ce ne fosse bisogno il processo di adeguamento al GDPR contribuisce di certo l’inerzia del legislatore italiano e della stessa Autorità Garante nazionale.

Come noto, nell’ambito del nuovo quadro normativo che la Commissione europea ha voluto delineare e al quale gli Stati membri sono tenuti a conformarsi, l’Italia ha recepito i nuovi principi attraverso l’art. 13 della legge n. 163/2017, entrata in vigore il 21 novembre dello scorso anno, che ha attribuito al Governo la delega ad adottare entro 6 mesi uno o più provvedimenti rivolti a:

– abrogare solo e solamente le disposizioni del vigente Codice Privacy in contrasto o comunque incompatibili con la nuova disciplina europea in tema di trattamento di dati personali e a modificarlo al fine di dare puntuale attuazione alle disposizioni del RGPD;

– valutare l’opportunità di avvalersi dei poteri specifici del Garante Privacy per l’adozione di provvedimenti attuativi e integrativi volti al perseguimento delle finalità previste dal GDPR;

– adeguare l’attuale regime sanzionatorio, a livello penale e amministrativo, alle disposizioni del RGPD, al fine di garantire la corretta osservanza della nuova normativa.

Ebbene, di tali decreti delegati non vi è traccia alcuna, eccezion fatta per uno schema di decreto legislativo, annunciato dal Governo con un Comunicato  Stampa del 21 marzo 2018, ora all’esame della Commissione speciale del Senato, riunitasi la prima volta il 4 aprile scorso. Ovviamente non è dato reperire notizie certe e attendibili relativamente ai tempi di discussione e di approvazione dello schema in questione.

In sintesi, per un adeguamento coerente al GDPR bisognerà comunque attendere l’emanazione dei suddetti decreti legislativi ma tale emanazione difficilmente interverrà entro il 25 maggio prossimo, termine ultimo previsto per l’adeguamento alla nuova disciplina europea.

Una cosa però è certa: il Codice privacy e il GDPR continueranno a coesistere e, dal 25 maggio 2018, saranno entrambi applicabili, con la conseguente necessità di valutare per ogni scelta di implementazione  eventuali  motivi di conflitto tra disposizioni nazionali e quelle europee.

Neppure il Garante Privacy brilla per zelo, eccezion fatta per la partecipazione a convegni equamente distribuiti in tutto il paese aventi per tema il GDPR e la recente messa in onda di uno spot televisivo sui canali RAI, tanto da essere costretto a rinviare a un software  di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA) messo a disposizioni dal CNIL, l’Autorità francese per la protezione dei dati.

Delle promesse indicazioni sull’elenco delle attività di trattamento da considerarsi pericolose, sul registro dei trattamenti e sulle modalità della sua composizione e compilazione, per tacer d’altro, non è dato rilevare al momento alcun contributo dell’autorità nazionale, che si è limitata a rinviare alle diverse Linee Guida del WP29 in tema di GDPR.

Il Garante ha invece immediatamente smentito la notizia, circolata online, della concessione di un periodo di congelamento di 6 mesi delle sanzioni alle aziende dopo l’entrata in vigore del GDPR.  Nessun grace period concesso ai titolari, dunque, a differenza di quanto deciso dalla stessa CNIL, la prima autorità garante europea a adottare una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR.

Pertanto, nelle more del completamento del nuovo assetto ordinamentale in materia, non resta che iniziare e/o proseguire le attività di adeguamento al GDPR  se non altro per dimostrare, a fronte di eventuali contestazioni, di avere avviato il processo di compliance in buona fede e in spirito di collaborazione con l’Autorità Garante.

Cosa tutto ciò significhi concretamente è questione oggi discutibile e controversa. Che il GDPR sia come la fede delle donne di mozartiana memoria: che ci sia ognun lo dice, dove sia nessun lo sa?

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn