Un po’di ordine.

Sto ricevendo molte telefonate:
– da vecchi clienti che vogliono giustamente aggiornarsi alla nuova normativa Privacy,
– da nuovi clienti che affermano di non aver mai saputo che dovessero adeguarsi alla normativa Privacy già prima di questo nuovo Regolamento Europeo che entrerà in vigore dal 25 maggio 2018.

Posso con assoluta certezza affermare che NON ci sono novità eclatanti per quanto riguarda “chi” e “come” occorre mettersi in regola, in quanto i principi di base sono fondamentalmente gli stessi della normativa precedente (la vecchia 196 del 2003, 15 anni fa….).

Posso però pensare che tutto questo allarmismo, a differenza della vera grande novità, sia purtroppo (o per fortuna) dato da un grande rimbalzo sui social media e da un eccesso di diffusione, spesso errata, di notizie che genera come sempre confusione.

Qualche chiarimento, a mio avviso, va dato.

Come dicevo già con le precedenti normative italiane, e in particolare con il Decreto 196 del 2003, che era già esso stesso un recepimento della normativa europea, TUTTI i titolari di partita iva erano già allora tenuti ad adeguarsi, a fare “almeno il minimo” per la tutela dei dati personali trattati (e non solo, come pensiero errato comune, i medici, gli avvocati, i commercialisti, o solo chi avesse dipendenti).
Quindi, chi meno, chi più, TUTTI, oggi, dovrebbero essere in regola con quanto previsto dal Decreto Legislativo 196 del 2003.

E cosa cambia dal 25 maggio 2018?

Il nuovo Regolamento Europeo in materia di tutela dei dati personali (GDPR 2016/679) è stato emanato il 27 aprile 2016, ed entrerà infatti a tutti gli effetti in vigore negli stati membri dell’UE a partire dal 25 maggio 2018, senza possibilità di proroghe o richieste di rinvii e ad oggi fatta eccezione per qualche paese. Per quanto riguarda le piccole realtà, con pochi o senza dipendenti, c’è qualche semplificazione, viene modificato qualche termine, si responsabilizzano i Titolari invece di riempirli di misure minime: insomma, qualche aggiustamento sarà da fare, certamente, ma in fondo è tutta roba che vediamo da 15 anni.

Ma (perché a mio avviso c’è un “ma”, anzi, diversi “ma”).

1 – IL GOVERNO HA UNA DELEGA (Legge n. 163 del 25 ottobre 2017) PER EMETTERE IL NUOVO DECRETO ITALIANO DI RECEPIMENTO DELLA NORMATIVA EUROPEA. In particolare si legge che il Governo dovrebbe emanare “uno o più decreti legislativi in modo da adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679, abrogando quelle che risultino con esso incompatibili e modificando quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento stesso, procedimento ancora in fase di definizione”.

2 – L’ITALIA NON HA ANCORA UN VERO DECRETO ATTUATIVO (perchè il Governo non ha ancora legiferato in materia), MA C’E’ UN PROVVEDIMENTO PROVVISORIO DEL GARANTE datato 22 febbraio 2018 che “intende fornire alcune preliminari indicazioni volte a contribuire alla corretta applicazione del Regolamento, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato unico”. Si può interpretare che ci sono indicazioni preliminari del Garante in attesa del Decreto del Governo.

3 – LO STESSO PROVVEDIMENTO (di cui al punto 2) PARE FACCIA SLITTARE DI 6 MESI I CONTROLLI IN ATTESA DEL DECRETO ATTUATIVO, interpretazione che si evince dal testo che dice che “considerato che la delega per l’attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata (punti n. 1 e n. 2) e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l’applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall’entrata in vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data. Ciò anche al fine di consentire all’Autorità di poter acquisire informazioni dai titolari dei trattamenti effettuati per via automatizzata o tramite tecnologie digitali”. E dato che tale Provvedimento disciplina, fra l’altro, “le modalità attraverso le quali il Garante stesso monitora l’applicazione del Regolamento e vigila sulla sua applicazione”, l’Autorità in pratica dichiara che, per i 6 mesi successivi all’entrata in vigore del decreto di adeguamento (allo stato ancora in bozza), non eserciterà i propri “poteri di indagine, i poteri correttivi e sanzionatori”.

4 – TUTTO CIO’ PREMESSO, IL GARANTE “ai sensi dell’art. 154, comma 1, lett. h), del Codice, adotta le indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679 in attuazione dell’art. 1, comma 1021, della legge n. 205/2017”.

Premesso ciò, mi sento di interpretare (ma sono solo pareri).

– Coloro che erano già in regola con la normativa che verrà abrogata sono assolutamente in regola fino all’abrogazione della presente normativa (25 maggio 2018).
– Coloro che non erano in regola precedentemente dovrebbero adeguarsi alla vecchia normativa da oggi al 25 maggio 2018.
– Ad oggi pare che dal 25 maggio 2018, con l’abrogazione della 196 del 2003, bisognerà seguire le linee del Regolamento Europeo.
– Appena verrà emesso un nuovo Decreto italiano (in recepimento al nuovo Regolamento Europeo) occorrerà aggiornarsi ad esso in 6 mesi o salvo diverse indicazioni.

A voi le considerazioni.