Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI A CALDO

Gdpr, perché è utile la gradualità delle sanzioni alle aziende

La gradualità delle sanzioni, prevista dal decreto nei primi otto mesi, aiuta soprattutto amministrazioni e PA, inadempienti nel 70% dei casi, a mettersi in regola; mentre sulla nomina del Data Protection Officer resta l’obbligo di gara Consip

27 Ago 2018

Michele Gorga

avvocato


La riforma della privacy, nonostante la piena efficacia del Regolamento UE 2016/679 detto GDPR, entrerà in vigore in Italia, almeno sotto il profilo dei controlli e delle sanzioni, in maniera graduale. Com’è ormai noto, per le Pubbliche Amministrazioni e le imprese sarà garantito un periodo transitorio di otto mesi, come si legge nel decreto di attuazione del GDPR. Considerati i tempi di entrata in vigore del decreto, con la pubblicazione in GU, si arriva a maggio 2019. Vediamo cosa questo implica e perché il legislatore ha voluto fortemente scrivere questa indicazione nel testo.

La gradualità delle sanzioni

Attenzione, non si tratta di una sospensione delle sanzioni previste dal GDPR (cosa che il Governo non avrebbe mai potuto imporre al Garante, pena violare il regolamento europeo). Bensì è l’indicazione di una loro temporanea attenuazione. Si legge che il Garante in questi primi otto mesi, nell’erogare le sanzioni, tiene conto del fatto che siamo in una fase iniziale di attuazione. Il garante inoltre, “promuove linee guida per fissare modalità di adeguamento semplificate” specifiche per le PMI.

Per il Governo non si poteva fare diversamente e ciò in ragione della stima, approssimativa, di circa il 70% delle amministrazioni inadempienti, con la conseguenza che a tappeto si sarebbero dovute comminare le sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato totale annuo dell’esercizio precedente. Da qui il provvidenziale ritardo di adeguamento del decreto legislativo (Codice Privacy) che il Consiglio dei Ministri dell’8 agosto ha approvato per adeguare il decreto al GDPR, apportando profonde ed innovative modifiche al D. Lg. 196/2003 che è stato largamente rimaneggiato.

Il testo che ha ottenuto l’approvazione definitiva da parte del Governo ed è stato rubricato come “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. Pur in attesa della pubblicazione in Gazzetta Ufficiale, sulla base del testo licenziato dalla Camera può già essere affermato che l’approccio con le nuove ispezioni della Guardia di Finanza sarà graduale e dovrebbe essere garantito un periodo transitorio, appunto, di 8 mesi per le imprese e le Pubbliche amministrazioni, ancora inadempienti nella nomina del DPO.

Sulla base di quanto reso noto dal Governo si è deciso di semplificare l’adeguamento alla nuove regole attraverso modifiche al Codice della Privacy esistente, nonostante il nuovo approccio alla tutela dei dati introdotto dal GDPR con l’introduzione del principio di accountability. Per garantire la continuità si è stabilito che per il periodo transitorio resteranno salvi i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di un successivo riesame, nonché i Codici deontologici vigenti.

Inoltre, per agevolare e per semplificare i nuovi adempimenti per micro, piccole e medie imprese, il Garante dovrà promuovere uno statuto speciale per l’adeguamento al nuovo regolamento sulla privacy per i titolari del trattamento dei dati.

Le regole per la nomina del data protection officer

Nessuna innovazione o modifica è stata prevista, invece, per il Data Protection Officer (DPO) ovvero per il (RPD) per il quale si continua a puntare sulla competenza maturate sulla base delle esperienze lavorativa di consulenza ed assistenza professionale presso la P.A. e le aziende e non sui “farlocchi Master” di qualche ora di soggetti privi di esperienza e conoscenza in diritto amministrativo di Ordinamento degli Enti Locali e in diritto delle nuove tecnologie.

Per la selezione del Data Protection Officer tutte le Pubbliche Amministrazioni saranno tenute, poi, ad osservare le prescrizioni dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 recante: “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini”, normativa che prevede la nullità dei contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.

Resta poi aperto, rispetto alla pluralità delle offerte delle piattaforme di e-procurement, il problema della cattiva prassi di troppe amministrazioni che fanno ricorso ai sistemi tradizionali, poco trasparenti e vietati che sono l’occasione per inserire negli avvisi di selezione veri e propri “abiti sartoriali” ritagliati su requisiti avulsi dai contesti normativi vigenti.

Articolo 1 di 4