Nuovo Regolamento UE 2016/679 sulla privacy: facciamo il punto

/in , /da

Il nuovo Regolamento (UE) 2016/679 sulla privacy, noto come GDPR (General Data Protection Regulation), è in vigore dal 25 maggio 2018, tuttavia il percorso di adeguamento della normativa italiana appare ancora lacunoso.
Facciamo un passo indietro.
Il 14 maggio 2018 il Governo ha trasmesso alle Camere lo schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679.

Il 22 maggio 2018 il Garante Privacy ha espresso il parere favorevole allo schema di decreto, con alcune precisazioni.
Il Garante ha posto, infatti, alcune obiezioni in merito a profili di particolare interesse quali, ad esempio, il tempo di conservazione dei dati di traffico telefonico e telematico, suggerendo che tali osservazioni siano valutate dagli addetti ai lavori.
Inoltre nel parere vengono affrontati dubbi interpretativi in relazione ai trattamenti dei dati, specie nei casi particolari riguardanti l’ambito pubblico, il consenso del minore ed il riutilizzo di dati a fini di ricerca scientifica o a fini statistici.

Alla luce di queste considerazioni, appare evidente che il Regolamento UE 2016/679 da un lato, non è chiaro nella sua formulazione, dall’altro necessita di un decreto di attuazione, che non è stato ancora pubblicato. Tutto questo rende quasi impossibile agire “a norma”.

La situazione è ulteriormente complicata dalla recente decisione di far slittare al prossimo 21 agosto il decreto attuativo per chiarire e adeguare la legislazione italiana al regolamento europeo. A questo punto, come orientarsi? È chiaro che il regolamento 679/2016 una volta entrato in vigore – cioè dal 25 maggio – è legge e sono legge tutti gli obblighi che comporta: adozione di misure idonee per il corretto trattamento dei dati, basato su principi di liceità, correttezza e trasparenza; revisione delle informative; registro dei trattamenti con revisione e aggiornamento dei dati di titolare e incaricati.
Chiunque subisca un danno materiale o immateriale causato da una violazione ha dunque il diritto di ottenere il risarcimento ai sensi del regolamento UE e non più del testo unico sulla privacy del 2003. Il Garante può dunque infliggere sanzioni pecuniarie che possono arrivare a un massimo di 20 milioni di euro o al 4% del fatturato delle imprese, secondo un principio di proporzionalità: più grave è la violazione maggiore sarà l’importo da pagare.
Tuttavia, in considerazione del ritardo nell’emanazione del decreto legislativo di adeguamento al nuovo regolamento sulla privacy, non sono ancora chiare quali multe saranno applicate. Il GDPR stabilisce, infatti, solo gli importi massimi e non chiarisce i parametri per la loro applicazione, riservando al Garante ampi margini di discrezionalità.
Lo slittamento crea dunque un clima di incertezza senza precedenti.
Si auspica che a breve si riesca a dare certezze ai cittadini e ai professionisti.