Il CNIL, la Data Protection Authority francese, ha annunciato l’istituzione di un periodo transitorio durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal Regolamento europeo 2016/679 – GDPR.
La Commission Nationale de l’Informatique et des Libertés istituisce, dunque, quello che può definirsi un vero e proprio grace period, ossia quel lasso di tempo immediatamente successivo alla scadenza dei termini di un obbligazione in cui è concesso al soggetto inadempiente di rimediare.
Il comunicato del CNIL – qui consultabile in francese – identifica nei “primi mesi” la portata del grace period. La notizia è piuttosto rilevante perché trattasi del primo Stato membro che annuncia una forma (iniziale) di flessibilità nei controlli sull’osservanza degli obblighi più onerosi del GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment, etc.)
Il CNIL, tuttavia, pone delle condizioni. I titolari dovranno dimostrare:
- di avere avviato un processo di GDPR compliance;
- che il ritardo è accumulato in buona fede;
- spirito di collaborazione con l’Autorità.
Ovviamente, sottolinea l’Autorità, resteranno immediatamente sanzionabili le condotte che violano principi invalsi da tempo nella normativa di privacy nazionali e confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, loro messa in sicurezza, etc.).
E’ verosimile che il grace period generalmente quantificato in “primi mesi” dal CNIL possa finire per consistere – ma questa è una nostra mera elucubrazione – in una sorta di moratoria per tutto l’anno solare in corso e che si ricorrerà alla mano pesante soltanto a partire dal 2019.
Non è dato sapere se l’Italia assumerà un atteggiamento omologo. Le premesse, a dire il vero, ci sarebbero tutte. Siamo in ritardo su tutta la linea: le istituzioni devono regolamentare alcuni aspetti fondamentali della normativa, mentre innumerevoli aziende e PA non si sono ancora mosse.
Ora che le fatiche elettorali del nostro travagliato Paese volgono al termine, vedremo se il legislatore riuscirà a partorire le norme attuative de GDPR (e il Garante emanare gli atti che gli saranno delegati) in tempi accettabili e, soprattutto, compatibili con la deadline del 25 maggio prossimo. Secondo dati recenti, solo il 3% delle aziende è già in regola, mentre 2 su 5 non hanno nemmeno abbozzato un piano di adeguamento (fors’anche perché, in un circolo vizioso, attendono maggiore chiarezza circa gli obblighi da osservarsi su base nazionale).
Considerato il summenzionato scenario nonché le immani sanzioni previste dalla nuova normativa (fino a 20 milioni di euro o 4% delle global revenue annuali), ipotizzare oggi le risultanze di ispezioni “a valore GDPR” che dovessero esser condotte nei primi mesi estivi del 2018 equivale ad immaginare uno scenario da mattanza.
