A dichiaralo ufficialmente il Garante privacy italiano che, con una nota dello scorso 19 aprile, prende le distanze dai colleghi del CNIL (Commission nationale de l’informatique et des libertés), che avevano invece assunto un approccio decisamente più soft rispetto al passaggio alla nuova normativa europea sulla Data Protection (GDPR).

L’Autority francese aveva assunto una posizione di maggiore flessibilità rispetto a controlli e attuazione delle sanzioni previste, per quelle imprese in grado di dimostrare l’avvio di un corretto iter di adeguamento, la buona fede alla base del ritardo nel raggiungimento della piena conformità e la volontà di cooperare con l’Autorità.

La posizione del CNIL evidenzia, dunque, un approccio “costruttivo” e di supporto nell’attuazione della normativa, piuttosto che sanzionatrice nei confronti delle imprese inadempienti aspettandole al varco del 25 maggio.

Sulla questione la distanza tra Francia e Italia non potrebbe essere più ampia e le speranze nutrite dalle imprese italiane di un “grace period” si sono spente nella nota ufficiale in cui il Garante ha affermato che: “Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie  né il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018”.

Il provvedimento al quale si riferisce il Garante nella nota è quello del 22 febbraio 2018 in cui era stata fatta menzione del differimento di specifiche indicazioni riferite tuttavia al provvedimento stesso e non agli adempimenti del GDPR.

Speranza delusa quindi per chi, come CNA, pensa che piccole e microimprese italiane abbiano un fisiologico bisogno di una “prova sul campo” meno invasiva. “Artigiani e piccole imprese ancora una volta sotto il tallone della burocrazia. Se non saranno attuate adeguate contromisure l’impatto delle norme sarà estremamente complicato da gestire.” afferma il Presidente Daniele Vaccarino.

Il Garante, dal canto suo, punta sul concetto che la protezione dei dati sia “un diritto di libertà” e come tale richiede un’immediata realizzazione da parte delle imprese. A disposizione di queste ultime una serie di strumenti informativi che – nel corso dell’ultimo anno – hanno creato una guida dettagliata di riferimento [http://www.gpdp.it/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali]. Ricordiamo alcuni punti messi in evidenza sui quali – probabilmente – vi sarà un’attenzione specifica in ambito di verifica.

• Liceità del trattamento. Come indicato nell’art. 6 del GDPR ogni trattamento deve trovare fondamento in un’idonea base giuridica. Sul punto il richiamo al Codice Privacy è evidente e richiede un consenso informato, dimostrabile ed esplicito tenendo conto dell’ipotesi di profilazione.
• Informativa. I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13(1) e 14(1) del regolamento che introduce anche il concetto di “informativa stratificata”.
• Garanzia dell’esercizio dei diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità).
• Titolare, responsabile, incaricato del trattamento. Sul punto è fondamentale verificare la presenza di contitolarità esistenti nonché valutare i contratti in essere con fornitori e sub-fornitori coinvolti nel ciclo di vita dei dati.
• Rischio del trattamento e accountability di titolari e responsabili. La richiesta esplicita dell’adozione di comportamenti proattivi tali da dimostrare la concreta applicazione di misure volte ad assicurare il rispetto del regolamento è, senza dubbio, una delle novità del GDPR. Data protection by design e by default sono concetti chiave che implicano una attenta valutazione del rischio che passa anche da analisi specifiche e figure professionali a garanzia quali il DPO.
• Trasferimenti internazionali di dati. Il capo V del GDPR conferma gli orientamenti precedenti in materia di flussi di dati al di fuori dell’Unione europea concessi qualora non si verifichino alcune condizioni specifiche che ne inficiano la validità (un esempio è l’inadeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea).