È il tema caldo degli ultimi giorni: oggi 25 maggio 2018 entra in vigore ufficialmente anche in Italia il GDPR, il Regolamento Europeo per la Protezione dei Dati personali che interessa tutte le società mondiali, inclusi quindi i siti Web, che trattano dati personali di soggetti che risiedono nell’Unione Europea, voluto per adeguare il concetto di privacy al mondo contemporaneo. O, per essere più precisi, diventano definitivamente valide e applicabili in tutti i Paesi (dell’Ue, ma non solo) le sanzioni previste dal regolamento.
Il GDPR è entrato in vigore
In un nostro articolo di qualche settimana fa avevamo già raccontato alcune delle principali novità di questo regolamento, compresi gli effetti per chi opera nel mondo del Web, e soprattutto il rigido sistema di controllo e sanzioni che dovrebbe garantire il corretto funzionamento del sistema e, conseguenza diretta, una efficiente protezione dei dati delle persone. Anche per questo, negli ultimi tempi le nostre caselle di posta sono state intasate dalle e-mail dei servizi di newsletter che avevamo in passato sottoscritto che richiedevano la conferma dell’iscrizione, e i siti web che visitiamo mostrano in evidenza le policy su cookie e trattamento dei dati, con una grande confusione che ha generato ancor più preoccupazione.
Le preoccupazioni in Italia per l’applicazione da parte delle imprese
Basta leggere alcuni comunicati diffusi dalle associazioni di categoria in questo percorso di avvicinamento all’entrata in vigore del GDPR in Italia: secondo Nicola Bernardi, presidente di Federprivacy, “Siamo a un passaggio epocale per l’Ue che ricorda quello del 2002 per l’introduzione della moneta unica, ma alcuni sondaggi indicano che nove aziende su dieci non sono ancora adeguate” e che “l’84 per cento dei più importanti siti italiani non pubblica i recapiti del Data Protection Officer, figura pagata dall’azienda per vigilare che collabora anche con l’Autorità”. Una prima conseguenza è che “migliaia di imprenditori di piccole e medie imprese e dirigenti della PA si sono purtroppo svegliati tardi” e si rivolgono all’associazione Federprivacy per supporto. Molto più allarmante lo scenario descritto da Confesercenti, che parla di “stangata da 2 miliardi di euro per le Pmi“, per giunta “estremamente conservativa”: secondo i commercianti, ogni azienda dovrà mettere in conto su una spesa di 500 euro, il minimo per l’istituzione e la tenuta del registro dei dati personali e per la redazione della nota informativa, ma “moltissime pmi sborseranno molto di più, a seconda della tipologia di attività e del numero di dipendenti e clienti di cui si devono conservare le informazioni. Se riguardano oltre le 250 persone fisiche, infatti, si dovrà anche avere il Dpo, un responsabile esterno del trattamento dati che può costare fino a 5mila euro l’anno”.
Il GDPR rimandato?
Proprio in queste ore, però, c’è chi parla di una sorta di “Gdpr rimandato“: il portale Agenda Digitale, la testata di riferimento per tematiche riguardanti il Digitale e la Pubblica Amministrazione, ha infatti studiato con attenzione il processo di applicazione del Regolamento nel nostro Paese, arrivando a ipotizzare un periodo di transizione di almeno alcuni mesi, durante i quali i controlli e le sanzioni potrebbero essere se non “sospese”, quanto meno alleggerite.
In Francia controlli e sanzioni sospesi per sei mesi
Questa soluzione è stata già adottata in Francia, dove il CNIL, l’Autorità garante francese che tutela la privacy, ha istituito “un grace period durante il quale non sanzionerà le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal Regolamento europeo 2016/679, purché i titolari siano in buona fede, dimostrino di avere avviato un processo di adeguamento e uno spirito di collaborazione con l’Autorità”; tuttavia, l’ente francese ha chiarito che “resteranno sanzionabili le condotte che violano regole già consolidate da tempo nella normativa nazionale e confermati dal GDPR”.
Sospensione possibile anche in Italia?
Anche l’Italia potrebbe seguire questa scia, soprattutto in considerazione del fatto che, come ha detto il Garante Antonello Soro, manca ancora “il parere sulla bozza del decreto di adeguamento della normativa nazionale al Gdpr”, con il “legislatore italiano è ancora in cammino” mentre il Regolamento europeo è già pienamente in vigore. Nei mesi passati, l’analisi dello schema di D.Lgs. di recepimento del Regolamento UE 2016/679 (che istituisce appunto il GDPR) era stata piuttosto complessa, con le due Commissioni speciali per gli atti urgenti del Governo che avevano differito l’elaborazione del parere finale e perplessità giunte dallo stesso Garante, che aveva chiesto modifiche al testo. Una situazione di “incertezza” che, ai sensi dell’articolo 31, comma 3, della legge n. 234 del 2012, aveva reso necessario lo slittamento del termine ultimo del recepimento della delega da parte del Governo dal 21 maggio 2018 al 21 agosto 2018.
Il GDPR non slitta al 21 agosto
Quindi, attenzione: chi scrive che il GDPR in Italia è stato rimandato al 21 agosto non offre una informazione precisa, ma “gioca” nel creare altra confusione. Il Regolamento è ufficialmente entrato in vigore da oggi, come previsto, ma l’Italia ha tempo per adeguare a pieno la sua struttura normativa entro il 21 agosto (e non è detto che il Parlamento non ci impieghi di meno). Diversa è la questione relativa al differimento di controlli e sanzioni, per il quale invece ci sono segnali di apertura che potrebbero aiutare le imprese.
La privacy come diritto fondamentale
Come conclude ancora Nicola Bernardi di Federprivacy, è comunque inevitabile che “per Pmi e PA saranno necessari diversi mesi prima che si possa auspicare di vedere un livello di conformità accettabile” al General Data Protection Regulation, e “come nel caso dell’Euro, occorre un loro cambio di mentalità”. Un cambiamento che dovrebbe riguardare anche la popolazione italiana: al momento, secondo gli ultimi studi in materia, solo il 31 per cento dei nostri connazionali (contro una media europea del 37 per cento), ha sentito parlare di un’autorità pubblica deputata alla protezione dei diritti dei cittadini in materia di dati personali, e appena il 37 per cento si rivolgerebbe al Garante della Privacy in caso di necessità (contro il 67 per cento dei finlandesi, per passare all’estremo opposto). Anche per questo la Commissione Ue sta spingendo per un’azione normativa molta forte, considerando la protezione dei dati personali non soltanto una preoccupazione forte per molti europei, ma anche un diritto fondamentale che in quanto tale deve essere pienamente salvaguardata, anche grazie al GPDR.