GDPR, i sei punti fermi che aziende e p.a. non possono ignorare

MILANO - Come previsto dai trattati internazionali dell'Unione Europea, dal prossimo 25 maggio il nuovo Regolamento sulla protezione dei dati personali sarà pienamente efficace e operativo senza alcuna possibile aspettativa di deroghe o proroghe.

Non mancano tuttavia le incertezze per migliaia di aziende e pubbliche amministrazioni, anche perché il GDPR (General Data Protection Regulation) rimanda per molti aspetti alle normative nazionali degli stati membri, e a tutt'oggi in Italia sussiste ancora un vecchio Codice Privacy (Dlgs 196/2003) vigente ma non allineato al Regolamento UE, mentre nel frattempo la Commissione nominata presso il Ministero della Giustizia ha potuto iniziare i lavori di adeguamento della normativa italiana solo a gennaio, approvando di recente in via preliminare lo schema di un nuovo decreto legislativo, che difficilmente però vedrà la luce in tempo per fornire i chiarimenti che le imprese avrebbero voluto prima della scadenza.

I ritardi della macchina politica non costituiranno ad ogni modo una giustificazione per gli inadempienti, e le aziende che saranno trovate fuori regola rischieranno sanzioni fino a 20 milioni di euro o fino al 4% del fatturato.

Alla luce dell'incerto contesto attuale, Federprivacy ha deciso di dedicare una specifica circolare sul tema delle questioni di diritto transitorio che accompagnano il passaggio dall'attuale Codice della Privacy al nuovo Regolamento UE 2016/679, come spiega Nicola Bernardi, presidente della principale associazione italiana di riferimento dei professionisti della protezione dei dati:

"In questa delicata fase di transizione in cui permangono non poche zone grigie nell'attuazione del GDPR, nella nostra ultima circolare abbiamo messo a fuoco sei principali punti fermi che aziende pubbliche e private non possono ignorare o tralasciare, a prescindere dai prossimi sviluppi normativi nel contesto italiano. In particolare - sottolinea Bernardi - ogni titolare del trattamento deve tenere presente che i consensi raccolti anteriormente al 25 maggio 2018 saranno ancora validi solo se lo si è fatto in modo conforme al Regolamento UE, per cui potrebbe essere necessario richiederli nuovamente agli interessati, mentre questi ultimi potranno esercitare e far valere tutti i più estesi diritti che sono riconosciuti loro dal nuovo testo. Inoltre, violazioni degli obblighi di notifica dei data breach saranno sanzionabili senza necessità di recepimento in una normativa nazionale."

La Circolare 1-2018 di Federprivacy affronta anche questioni di diritto transitorio attinenti i casi in cui non è necessario redigere la valutazione di impatto entro il 25 maggio, la disciplina contrattuale applicabile per la nomina di responsabili del trattamento, e l'applicabilità degli obblighi di nomina del data protection officer.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy