Gdpr, occhio alla proroga: non riguarda le aziende

Il Gdpr c’è ed è efficace dal 25 maggio. Ma in Italia manca un passaggio tecnico, non sono arrivati i pareri delle Commissioni speciali, per cui il recepimento della delega slitta al 21 agosto. Facciamo un passo indietro per inquadrare la situazione: il regolamento europeo 679/2016, relativo alla libera circolazione e alla protezione dei dati personali, stabilisce che in Europa la privacy sia regolata dal General Data Protection Regulation (Gdpr). Trattandosi di un regolamento, non ha bisogno di una normativa di carattere nazionale per essere recepito. Però ci sono aree del regolamento in cui il governo dei singoli Paesi europei può intervenire per adeguare il testo alle leggi statali.

In Italia c’è stato un rallentamento di questo processo. Entro il 21 maggio il Governo, con delega del Parlamento, avrebbe dovuto adottare il decreto legislativo di adeguamento della normativa italiana al Gdpr e invece non c’è riuscito (come anche altri Paesi europei). Questo non è avvenuto perché non sono arrivati i due pareri delle Commissioni speciali, che invece hanno previsto audizioni informali. Il Garante ha espresso parere favorevole con alcune osservazioni. Con questo slittamento dell’armonizzazione tra regolamento europeo e ordinamento italiano, per via di una proroga che scatta in automatico, il termine per il Governo diventa il 21 agosto 2018.

Trattandosi però di un regolamento, nonostante alcuni dubbi interpretativi che potranno sorgere, il Gdpr è efficace, è in vigore, e deve essere attuato con tutte le sue misure, pur mancando l’adozione del decreto. E le aziende non possono evitare l’obbligo.

Quindi anche agenzie di viaggi e tour operator già dallo scorso venerdì hanno dovuto adeguarsi ai nuovi obblighi per la tutela dei dati personali dei cittadini. E possono già partire le ispezioni del Garante della privacy per sanzionare gli inadempienti: la macchina dei controlli sta partendo in modo graduale, ma non ammette dubbi e proroghe. Per quanto riguarda le sanzioni, come abbiamo già visto, potranno raggiungere i 20 milioni di euro o il 4 per cento del fatturato globale. Ciò può significare cifre altissime per le multinazionali.

Con il Gdpr l’Europa ha voluto standardizzare il trattamento e la trasmissione dei dati personali all’insegna della trasparenza delle procedure. Per questo il trattamento dei dati prevede oggi consenso apposito, rettifica dei dati inesatti e loro cancellazione ove riscontrati.