È possibile che qualcuno – non pochi, magari – ieri abbia tirato un po’ il fiato davanti ad una notizia: il Garante della Privacy sospende per sei mesi le sanzioni per le aziende inadempienti al GDPR. Purtroppo, però, le cose non stanno così: non c’è alcuna sospensione, se al 25 maggio 2018 non saranno completate le operazioni per essere in regola con il nuovo Regolamento europeo sui dati personali le procedure di infrazione scatteranno regolarmente.
Cosa è successo
La notizia della sospensione è apparsa su Agendadigitale.eu, dove si legge che «il Garante italiano ha differito di sei mesi i controlli, e quindi le sanzioni, sull’applicazione del GDPR». L’articolo basa il fatto sulla frase di chiusura di un provvedimento del Garante stesso, dove è stabilito quanto segue: «Considerato che la delega per l’attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l’applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall’entrata in vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data».
L’interpretazione della chiosa è stata semplice: manca una delega, manca un decreto legislativo, mancano dunque i presupposti per l’applicazione delle sanzioni. E infatti, lo stesso provvedimento parla esplicitamente di differimento.
A cercare chiarimenti ha provveduto Key4biz.it, interpellando diretamente l’Authority. Che ha dichiarato: «Non ci siamo pronunciati su un ipotetico periodo di grazia e il provvedimento citato non ha nessun nesso con il tema delle sanzioni». La stessa Authority ha poi diffuso una propria nota ufficiale, secondo la quale «Con riferimento all’articolo Gdpr, il Garante privacy rimanda di sei mesi controlli e sanzioni: che significa per le aziende, pubblicato oggi su Agendadigitale.eu, è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018».
Agendadigitale.eu ha comunque tenuto a dare ulteriori precisazioni sulla propria interpretazione del provvedimento del Garante.
Tutto come prima
La data del 25 maggio 2018 resta quindi definitiva per la «compliance» delle aziende e degli interessati al GDPR. La notizia nasce dunque da un’errata lettura del provvedimento citato, datato 22 febbraio 2018 e per ulteriore ammissione del Garante non legato alla questione delle sanzioni ma riferito ad adempimenti richiesti in tema di privacy dalla legge di Bilancio 2018.
A confondere le idee ha probabilmente contribuito anche la situazione francese. Oltralpe, infatti, il CNIL (l’autorità per la protezione dei dati) ha annunciato un periodo di sospensione delle sanzioni alle aziende che risultino inadempienti in seguito a eventuali ispezioni. La Francia è l’unico stato Ue, al momento, che ha scelto di essere flessibile nei controlli, senza tuttavia indicare un periodo di tempo preciso per questa «grazia» e comunque subordinando la sospensione a precise condizioni. E cioè:
- L’azienda dovra comunque aver avviato i processi per mettersi in regola con il GDPR
- La buona fede nel ritardo accumulato
- Mostrare spirito di collaborazione con il CNIL
L’Italia – giova ribadirlo – non ha scelto questa flessibilità: le sanzioni restano operative.