Il decreto di adeguamento della normativa Italiana alle disposizioni del GDPR è finalmente stato pubblicato in Gazzetta Ufficiale del 4 settembre 2018 ed entrerà in vigore a partire dal 19 settembre, pertanto il quadro normativo è completo e non ci sono più alibi per le aziende e le pubbliche amministrazioni.

Invero la normativa comunitaria in materia di privacy è applicabile dallo scorso 25 maggio, ma si attendeva il decreto italiano per adeguare la normativa nazionale alle importanti novità.

Ad ogni modo, ora l’insieme delle regole sulla privacy si rivela abbastanza complesso.

La scelta fatta dal Governo, infatti, di non abrogare l’intero Codice privacy previgente per sostituirlo con un nuovo testo, bensì di procedere alla novella del vecchio Codice di cui al d.lgs n. 193 del 2003, comporta inevitabilmente molte difficoltà per chi deve interpretare e applicare un apparato normativo composto dal GDPR, dal nuovo decreto legislativo e dal Codice del 2003 come modificato dalle nuove norme.

Si auspica, pertanto che il Garante provveda a promuovere e pubblicare una versione aggiornata del d.lgs n. 193 del 2003 coordinata col nuovo testo normativo, al fine di agevolare l’applicazione del nuovo sistema che va concepito come un ordinamento “integrato” il cui punto di riferimento essenziale è il GDPR, come espressamente stabilito dal novellato art.1 del decreto legislativo n. 196 del 2003 che stabilisce: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 e del presente Codice, nel rispetto della dignità umana e dei diritti fondamentali della persona”.

Particolarmente attese le disposizioni di adeguamento contenute nel decreto attuativo relative alle sanzioni previste dal GDPR.

Si rischiano, infatti, sanzioni amministrative da 10 a 20 milioni di euro, o dal 2% al 4% del fatturato mondiale annuo, in relazione alle violazioni degli obblighi chiariti dal decreto di adeguamento.

Sarà il Garante ad adottare sia i provvedimenti correttivi che le sanzioni previste dall’articolo 83 del GDPR e l’avvio del provvedimento sanzionatorio sarà subordinato alla presentazione di apposito reclamo o ad automa iniziativa del Garante nonché a seguito di accessi o ispezioni della Guardia di Finanza.

In caso di adozione di un provvedimento sanzionatorio, l’impresa o la pubblica amministrazione potrà inviare le proprie difese o chiedere di essere sentita dal Garante entro il termine di trenta giorni. Per quanto riguarda il procedimento che porterà all’adozione dei provvedimento sulle sanzioni, dovrà essere l’Autorità Garante ad esprimersi.

Confermata inoltre la novità che darà un po’ di respiro alle aziende e alle pubbliche amministrazioni: il Garante nei primi otto mesi, nell’erogare le sanzioni, “tiene conto del fatto che siamo in una fase iniziale di attuazione”. Ossia per ora si eviterà di essere troppo punitivi verso aziende e amministrazioni ritardatarie. Si eserciterà dunque una certa gradualità, andando così incontro a quanto richiesto dal Parlamento che avrebbe voluto una temporanea sospensione delle ispezioni del Garante.

 

Di seguito il link per visionare il decreto legislativo 10 agosto 2018, n. 101 pubblicato in gazzetta ufficiale: http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg