SANZIONI GDPR CONGELATE OTTO MESI


 

Il Parlamento chiede una moratoria di otto mesi per l’applicazione delle sanzioni per violazioni del Regolamento Ue sulla privacy (Gdpr). E chiede anche di inserire minimi edittali, per poter fare il calcolo e beneficiare dell’agevolazione di regolare la sanzione con una oblazione.

Seppure con una lista di richieste di modifiche e suggerimenti, le commissione speciale parlamentari di camera e senato hanno licenziato il 20 giugno 2018 un parere favorevole allo schema di decreto legislativo di armonizzazione della legislazione italiana al Gdpr. Lo schema di provvedimento si propone di attuare la legge delega 163/2017, che all’articolo 13 ha dettato tra i criteri direttivi una rivisitazione del sistema sanzionatorio. Siamo, comunque, ormai al di là di una data fatidica e cioè il 25 maggio 2018, e cioè la data in cui il Gdpr è diventato operativo. Così ci troviamo con un Regolamento europeo pienamente vigente e con una mancata definizione legislativa della sorte del vecchio codice della privacy (d.lgs. 196/2003). Attenzione: il Gdpr è direttamente applicabile e dal 25 maggio 2018 bisogna fare una verifica di quali parti del codice siano divenute inapplicabili. Il decreto di armonizzazione deve aiutare gli operatori e le imprese nella ricostruzione della disciplina e deve riempire gli spazi lasciati dal Gdpr al legislatore dei singoli stati membri.

Inutile chiedersi perché il legislatore italiano sia rimasto fermo dal maggio 2016 (entrata in vigore del Gdpr) al novembre 2017 (approvazione della legge delega). Ma così è ed è innegabile che ci siano margini di incertezza nella individuazione degli istituti e degli adempimenti: si aspettano, ad esempio, semplificazioni per le Pmi.

Profili di incertezza si riscontrano anche nel sistema sanzionatorio: ci si chiede quali siano le norme penali vigenti e vi è un certo sconcerto rispetto alle sanzioni amministrative previste dal Gdpr. Il regolamento ha, infatti, due fasce con previsione del solo massimo edittale: fino a 10 milioni per violazione degli adempimenti; fino a 20 milioni per violazione di principi e diritti.

Su questi aspetti, il parere parlamentare si spinge a chiedere al governo di valutare la possibilità che il garante della privacy, in una fase transitoria, in ogni caso non inferiore a 8 mesi, successiva all’entrata in vigore del decreto legislativo, non irroghi sanzioni alle imprese, ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act.

Sempre in materia di sanzioni amministrative, il parere suggerisce l’opportunità di prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega e con le previsioni del Regolamento (Ue) 2016/679, un minimo edittale alle sanzioni previste dal nuovo Regolamento, anche ai fini dell’accesso all’oblazione. Applicando il doppio del minimo le imprese e gli enti colpiti da sanzioni amministrative potrebbero effettuare un calcolo di convenienza e pagare l’oblazione, mantenuta entro quel limite.