Quattro mesi e il 25 maggio 2018, così tanto atteso e temuto, quasi come se fosse stata la nuova data comunicata dai Maya per la fine del mondo, è passato. Quel momento di terrore, ansia, inquietudine è diventato ormai solo un lontano ricordo. E ora? Nemmeno il tempo necessario per prendere confidenza con il nuovo Regolamento Generale sulla Protezione dei Dati (RGDP-Reg. UE 679/2016 o GDPR, dall’acronimo della definizione inglese) che, quasi dalla sera alla mattina-per modo di dire, abituati come siamo alla “scorrevolezza” e “velocità” della legislatura italiana- ci hanno presentato il D.Lgs. 101/2018. E ora? La confusione. Alcuni hanno tentato di avventurarsi nel labirinto privacy senza filo di Arianna, molti hanno desistito subito. Ecco quindi una piccola “matassa sciolta” utile per orientarsi in questa materia complessa.

Fino ad ora siamo stati abituati a cercare informazioni riguardanti la Privacy all’interno del Testo Unico, ovvero del D.Lgs. 196/2003, Decreto a cui si faceva riferimento anche nella diversa documentazione da produrre per regolarizzare la posizione Privacy dell’azienda. Negli anni, vista la difficoltà di trovare Leggi omogenee tra i diversi Paesi membri e la confusione che si creava nei casi di scambio di dati da aziende che hanno sedi e succursali in Paesi terzi, l’Unione Europea deciso di uniformare e armonizzare le normative privacy di ogni Stato, in modo da agevolare e migliorare lo scambio dei dati, pur mantenendo altissimi i livelli di protezione: è così che nasce il GDPR o Reg. UE 679/2016.

Volgendo lo sguardo verso “casa nostra”, il nostro Testo Unico Privacy presentava delle incongruenze con il GDPR. Dunque, l’Italia si è trovata a dover compiere una scelta: o abrogare completamente il Decreto 196 del 2003, o abrogare e modificare solo alcune parti dello stesso, così da non creare il conflitto normativo tra legge italiana ed europea. Conscia dell’importante lavoro da portare a termine in tempi ristretti, l’Italia ha optato per l’emanazione del D.Lgs. 101/2018. Il nuovo Decreto italiano ha parzialmente modificato la vecchia normativa datata 2003, rendendola più snella e fluida e permettendo così il pieno recepimento del Regolamento Europeo all’interno dell’Ordinamento Italiano. Il 196/2003 ha preso una nuova forma, adeguata quindi al GDPR, rimanendo comunque il c.d. “Codice sulla privacy”, punto di riferimento per tutte le aziende e le imprese italiane che devono interfacciarsi con la materia.

Ora che la confusione normativa pare svanita, è importante comprendere e valutare quali sono i termini temporali che il Legislatore ha concesso a quelle aziende che ancora non si sono mobilitate per rispolverare la privacy, ma anche per quelle che, invece, hanno già intrapreso da tempo il percorso, consci delle difficoltà che emergono applicando il Regolamento Europeo.

L’8 settembre scorso è stato emanato il D.Lgs. 101/2018 ed è entrato in vigore il 19 settembre. Ciò vuol dire che ormai tutte le aziende, nessuna esclusa, devono essere in regola con la documentazione privacy e devono mobilitarsi al fine di rispettare le nuove disposizioni sancite dal Legislatore Italiano. Data la complessità della materia e le modifiche che sono state apportate al vecchio Decreto del 2003, l’Italia ha voluto alleggerire l’imposizione normativa nei primi otto mesi a decorrere dall’entrata in vigore del 101/2018.

L’art. 22, punto 13 del decreto è cosi scritto:

“ Per i primi otto mesi dalla data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie.”

Sembra quindi evidente la volontà del legislatore italiano di obbligare l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso.

Secondo le interpretazioni più diffuse, in questo lasso di tempo, le aziende saranno sottoposte a controllo da parte delle autorità preposte, ma le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento. Da aprile 2019 in poi, però, le aziende non avranno più modo di giustificare ritardi nella corretta applicazione normativa, dato che, comunque, è già dal 2016 che le aziende avrebbero dovuto iniziare a regolarizzare le loro posizioni rispetto al GDPR.

Otto mesi di di alta pressione dunque,  durante i quali anche il Garante Privacy è chiamato a stilare le Linee Guida necessarie per chiarificare alcuni punti della materia. Ma non per questo ci è permesso di dormire sonni tranquilli: le aziende devono comunque impegnarsi e non distogliere l’attenzione dagli obiettivi della nuova privacy, poiché gli adempimenti sono parecchi e alcuni possono richiedere anche dispendiose energie, è meglio approfittare e non farsi cogliere impreparati. D’altronde, chi ha tempo non aspetti tempo.