Il 19 settembre è entrato in vigore il decreto legislativo 101 che ha coordinato le vecchie norme nazionali in materia di riservatezza con il sistema introdotto dal regolamento Ue 679 (il cosiddetto Gdpr), diventato operativo il 25 maggio. Dunque, gli operatori pubblici e privati avranno tutti gli strumenti per muoversi tra i nuovi obblighi - a cominciare dalle procedure per il condono delle vecchie sanzioni, il cui pagamento va effettuato entro il 18 dicembre - anche se la navigazione si preannuncia complicata.

E questo per almeno due motivi. Per la complessità dell’apparato normativo, costituito dal Gdpr (che rappresenta il principale punto di riferimento) e dal decreto 101, che a sua volta si compone di due parti: le regole che vivono di vita propria e le modifiche al vecchio codice della privacy (il decreto legislativo 196 del 2003). Queste ultime rappresentano la materia più consistente del decreto. L’altra difficoltà è rappresentata dalla definitezza del nuovo sistema, che è tale solo in apparenza. All’appello mancano, infatti, ancora parecchi passaggi da compiere, a cominciare dalla ricognizione dei codici deontologici (come quello dei giornalisti o delle investigazioni difensive; si veda la scheda a fianco) e delle autorizzazioni generali: in entrambi i casi si deve appurare la loro compatibilità con la nuova privacy. Compito che spetta al Garante.

Per l’Autorità guidata da Antonello Soro si prospettano mesi di fuoco, perché dovrà gestire anche il contenzioso pregresso, occuparsi del condono delle sanzioni comminate prima del 25 maggio e, allo stesso tempo, monitorare l’applicazione del Gdpr, cercando, però, di non calcare troppo la mano. E questo in ottemperanza al periodo di rispetto di otto mesi imposto dal decreto 101, così da dare a imprese e pubbliche amministrazioni il modo di prendere le misure con i nuovi obblighi. Scatta per l’Autorità un fitto calendario di adempimenti che si concluderà a dicembre del prossimo anno, quando dovrà chiudere il registro dei trattamenti che finora ha gestito e che il Gdpr ha reso obsoleto. E ciò al netto di altri compiti che non prevedono una scadenza ma che spetta sempre al Garante portare a termine, come il regolamento sull’organizzazione e il funzionamento del proprio ufficio o le linee guida per semplificare la vita alle piccole e medie imprese.

L’urgenza maggiore è, tuttavia, rappresentata dalla revisione di cinque dei sette codici deontologici (per gli altri due c’è più tempo) e delle diverse autorizzazioni generali. Operazione che deve compiersi nei prossimi mesi e che prevede, in una prima fase, la verifica da parte del Garante della compatibilità di quei provvedimenti con il nuovo quadro normativo sulla privacy e, successivamente, la sottoposizione dei nuovi testi a una consultazione pubblica.

Altro capitolo da affrontare nell’immediato è quello della trattazione dei vecchi ricorsi, reclami e segnalazioni e il condono riservato a determinati tipi di violazioni che al 25 maggio risultavano non ancora definite con l’adozione dell’ordinanza-ingiunzione da parte del Garante. In quel caso, gli interessati potranno usufruire del pagamento della sanzione in misura ridotta (due quinti del minimo edittale), versamento da effettuare entro il 18 dicembre.

AdA

Fonte Sole24Ore 256/18 AC