(questo articolo è stato ritrattato dall’autore, si veda quanto sotto)
In relazione al testo pubblicato questa mattina e al successivo comunicato del Garante per la protezione dei dati personali, riteniamo doveroso puntualizzare quanto segue.
Il Provvedimento del Garante del 22 febbraio 2018 (che non sappiamo quando in effetti sia stato reso pubblico) stabilisce “Considerato che la delega per l’attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l’applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall’entrata in vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data. Ciò anche al fine di consentire all’Autorità di poter acquisire informazioni dai titolari dei trattamenti effettuati per via automatizzata o tramite tecnologie digitali”.
Nelle premesse del Provvedimento si legge: “Nel quadro dell’adeguamento dell’ordinamento interno alle disposizioni introdotte dal Regolamento, al fine di assicurare contestualmente la tutela dei diritti fondamentali e delle libertà dei cittadini, l’art. 1, comma 1021, della legge n. 205/2017, prevede che il Garante provveda a disciplinare, con proprio provvedimento, le modalità attraverso le quali monitorare l’applicazione del Regolamento medesimo […].
Riteniamo quindi che il Garante abbia adottato il provvedimento del 22 febbraio 2018 in applicazione di quanto disposto dalla Legge di Bilancio.
Le nostre ricostruzioni
Al punto 1 del Provvedimento che titola “1. Monitoraggio e vigilanza sulla corretta applicazione del Regolamento”, il Provvedimento stesso disciplina le modalità di vigilanza sulla corretta applicazione della nuova normativa (sembrerebbe su tutta la nuova normativa, non solo su una parte, come peraltro a nostro avviso emerge chiaramente dalla lettera a. del comma 1021 della Legge di Bilancio oggetto di discussione e considerando che le ulteriori tematiche demandate dalla Legge di Bilancio alla Autorità, come da lettere successive alla a., sono disciplinate dai punti 2 e 3 del Provvedimento e come peraltro appare chiaro dall’elenco contenuto nelle Premesse del Provvedimento stesso).
Se la Legge di Bilancio prevede che il Garante debba adottare un provvedimento a disciplina delle modalità di monitoraggio e vigilanza in merito all’applicazione del Regolamento, e se il Provvedimento stesso prevede un differimento della sua applicazione di sei mesi dalla entrata in vigore del decreto legislativo adottato in ottemperanza alla delega (nota: forse l’Autorità intendeva riferirsi nel passaggio finale del Provvedimento non alla Legge di Bilancio quanto invece alla Legge di Delegazione Europea n° 163/2017 citata nelle premesse) ci si chiede a cosa servirebbe il differimento stesso se il potere di Monitoraggio e Vigilanza in capo al Garante fosse il medesimo con o senza il Provvedimento.
Quali sanzioni?
Va da sé che le sanzioni susseguenti a un controllo non possono esserci in assenza del controllo stesso ma ben possono esserci tutte le sanzioni non conseguenti a controlli.
In relazione al comunicato stampa del Garante per la protezione dei dati personali titolato “nessuna pronuncia su differimento applicazione sanzioni” e nel quale si afferma che “Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018”, a nostro avviso il Provvedimento doc. web n. 8080493 – Registro dei provvedimenti n. 121 del 22 febbraio 2018 è in applicazione della Legge di Bilancio e in particolare del comma 1021 e al punto 1 disciplina le modalità attraverso le quali il Garante deve monitorare l’applicazione del regolamento RGDP e deve vigilare sulla sua applicazione (come scritto nella legge di bilancio).
Detto Provvedimento ci risulta che preveda il differimento “della applicazione del Provvedimento stesso (NB e quindi riteniamo anche del punto 1 inerente l’attività di monitoraggio e vigilanza sulla corretta applicazione del Regolamento) fino a sei mesi dall’entrata in vigore del predetto decreto (NB decreto legislativo emanato in ottemperanza alla delega), fatta salva diversa determinazione del Garante”.
In ogni caso, il testo che richiamava il Provvedimento:
- Con riferimento alle sanzioni fa chiaramente riferimento a quelle dipendenti dalle attività di monitoraggio e vigilanza
- Dice in modo inequivoco che: “Resta ovviamente inteso che le suddette Autorità non hanno – né avrebbero potuto farlo – prorogato la piena operatività del GDPR, che rimane il 25 maggio 2018”.
