GDPR armonizzato con la normativa italiana: periodo transitorio di 8 mesi

Il Consiglio dei Ministri approva in via definitiva uno schema di decreto che rende più solidi i legami tra il GDPR e la normativa italiana. Sarebbe anche previsto un periodo di transazione di 8 mesi dalla data di pubblicazione del provvedimento. Durante questa fase non ci sarebbero né verifiche né sanzioni.

Nelle scorse settimane abbiamo ripetutamente posto sotto la lente quanto previsto dal GDPR, il regolamento generale sulla protezione dei dati che ha iniziato ad avere piena efficacia in tutti i Paesi dell’Unione Europea (e anche oltre visti gli adempimenti a carico delle società straniere che trattano i dati dei cittadini europei) lo scorso 25 maggio.

Il Consiglio dei Ministri ha però approvato ieri sera, in via definitiva, uno schema di decreto legislativo che ha come fine quello di armonizzare le vigenti normative italiane con il GDPR.


In altre parole, il provvedimento ministeriale non cambia una virgola di quanto disposto del GDPR (e non avrebbe neppure titolo per farlo): vedere GDPR: entra in vigore il nuovo regolamento sulla privacy. Cosa cambia, anche per i gestori di siti web e GDPR, fatti e curiosità dopo il debutto ufficiale della nuova normativa.
Il GDPR, infatti, non necessita neppure di decreti attuativi dal momento che si tratta di una normativa approvata in sede europea.

Il Governo ha però sentito la necessità di stabilire un ponte tra il Codice Privacy (D.Lgs. n. 196/2003), le altre leggi dello Stato e il GDPR così da evitare interpretazioni errate e soprattutto armonizzare le peculiarità che durante questi anni sono state fissate, per esempio, dal Garante per la protezione dei dati personali.

Il testo del decreto deve essere ancora pubblicato in Gazzetta Ufficiale: vi riassumiamo quindi le novità usando, doverosamente, il condizionale.
Ci sono però alcuni punti fermi, come conferma un comunicato stampa del Consiglio dei Ministri: “dopo l’esame di una commissione appositamente costituita si è deciso, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di dell’accountability. Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti“.

Il decreto legislativo appena approvato dovrebbe, in particolare, chiarire che i minori con età pari ad almeno 14 anni potranno esprimere il loro consenso in ottica GDPR mentre i soggetti di età inferiore dovranno rivolgersi ai genitori o agli individui aventi potestà genitoriale.
In ogni caso, chi eroga un servizio dovrà fornire informative chiare e di semplice lettura, anche da parte di un minore.

Per quanto riguarda i dati genetici, biometrici e relativi alla salute, dovrebbe spettare al Garante la prescrizione delle misure opportune per preservare la sicurezza e la riservatezza di tali informazioni.

I diritti dell’interessato, previsti dagli articoli 15-22 del GDPR, potrebbero poi venir meno in caso di indagini di polizia, dell’esercizio dei diritti in sede giudiziaria, quando fossero violate disposizioni dello Stato o in attività di whistleblowing ovvero quando un dipendente pubblico intenda segnalare illeciti di interesse generale e non di interesse individuale.

In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, la norma prevede che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Il Garante sembrerebbe quindi estendere i suoi poteri mentre Accredia potrebbe rafforzare il suo ruolo di ente unico nazionale di accreditamento.

Per gli 8 mesi successivi all’entrata in vigore del decreto (quindi, forse, fino a metà aprile 2019), inoltre, potrebbero non essere avviate le verifiche a carico delle imprese e, durante lo stesso periodo, non verrebbero irrogate sanzioni. Non si tratta di una “moratoria” quanto piuttosto dell’applicazione di un criterio prudenziale cui aveva fatto riferimento anche il Garante Antonello Soro nei mesi scorsi.
Nel frattempo, però, professionisti e aziende vengono esortati ad adeguarsi a quanto previsto nel GDPR così da evitare le pesanti sanzioni che possono essere disposte in futuro.

Ti consigliamo anche

Link copiato negli appunti