Il decreto legislativo di adeguamento al Regolamento #GDPR, è stato pubblicato in Gazzetta Ufficiale ed entrerà in vigore il 19 settembre.
Tra le disposizioni del Decreto 101/2018, ve ne è una alquanto bizzarra.
Si tratta dell’art 22, punto 13, del decreto.
La disposizione è cosi congegnata: “ Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”
La Norma ha dato luogo ad intensi dibattiti al fine di comprenderne la reale portata.
Sostanzialmente tre sono le possibili interpretazioni, una delle quali è da escludere in partenza.
1 Sospensione dell’esecutività delle sanzioni per un periodo di otto mesi.
2 Norma sovrabbondante ed inapplicabile.
3 moratoria intesa come applicazione di attenuanti ex lege da parte del Garante privacy per il periodo previsto.
- La prima interpretazione del disposto normativo sembra da escludersi a priori: il GDPR in quanto norma autoapplicantesi e con termini ben precisi di entrata in vigore non consente di derogare in modo così plateale ai principi stabiliti dal GDPR, tanto più che l’Unione Europea, con una dichiarazione inusuale del Commissario alla Giustizia, avrebbe ribadito la contrarietà della stessa UE a principi in grado di stravolgere completamente il senso dell’uniformità delle norme sulla privacy.
La Commissaria Vera Jourova avrebbe dichiarato “Ora analizzeremo il testo e in caso di elementi che vadano al di là o che non siano in linea con il GDPR ci rivolgeremo di nuovo alle autorità italiane”. https://www.corrierecomunicazioni.it/privacy/la-nuova-privacy-via-alluso-della-biometria-e-i-dati-entrano-nellasse-ereditario-ecco-in-dettaglio-il-decreto-101/
Eppure la Commissione per gli atti urgenti del Governo, che aveva reso il proprio parere a giugno del 2018 aveva suggerito proprio la strada della sospensione con la seguente prescrizione: “Si valuti la possibilità di stabilire, tramite provvedimenti del Garante, una fase transitoria, in ogni caso non inferiore a 8 mesi, successiva all’entrata in vigore del decreto legislativo, nel corso della quale il Garante non procederà ad irrogare sanzioni alle imprese, disponendo, invece, ammonimenti o prescrizioni di adeguamento alla nuova disciplina. Ciò anche in base al principio di proporzionalità e di gradualità della sanzione, anche osservando i principi dello small business act.”
Il Legislatore delegato evidentemente non ha seguito la strada indicata dalla Commissione.
- All’opposto vi è l’interpretazione diretta a rendere di fatto inapplicabile la norma.
Secondo questa interpretazione il legislatore nazionale nell’adeguarsi al Regolamento Comunitario non avrebbe possibilità di imporre all’Autorità Garante per la protezione dei dati personali altri compiti ed altre funzioni se non quelle previste dallo stesso Regolamento e dagli atti di indirizzo nell’irrogazione delle sanzioni stabiliti dall’European Data Protection Board, o Comitato europeo per la protezione dei dati, ovvero l’organismo che ha sostituito il Gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati, denominato articolo 29.
Il Garante nazionale dunque non potrebbe soffrire limiti interni nell’irrogazione delle sanzioni, perché tali limiti potrebbero confliggere con le disposizioni Comunitarie.
La disposizione sarebbe dunque un inutile doppione di ciò che il Garante può già fare secondo il Regolamento Comunitario e le linee guida del WP29, ovvero la possibilità di valutare le circostanze del caso concreto, e di graduare di conseguenza le sanzioni.
- Una terza teoria tende a salvaguardare i principi di legalità immanenti al nostro ordinamento e quelli di conservazione della funzione di norma primaria nazionale, pur nel rapporto tra diverse fonti.
Secondo questa teoria non si potrebbe in alcun caso eliminare la funzione della norma nazionale che, come norma primaria, deve comunque trovare una applicazione nell’attività sanzionatoria, anche a prevalenza sulle valutazioni discrezionali dell’Autorità.
Tanto più che la norma stessa prevede un obbligo e non una facoltà per il Garante per la protezione dei dati ( “tiene conto” e non “può tenere conto”).
La norma sarebbe innanzitutto compatibile con il Regolamento Comunitario trovando la sua fonte legittimante nell’art 83, comma 2, lettera K del regolamento allorquando il Regolamento stesso nello stabilire come verranno applicate le sanzioni stabilisce espressamente che l’Autorità nazionale interpreta “eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso…”
La disposizione dunque si porrebbe come ambito concorrente di valutazione nazionale a quanto stabilito dal regolamento.
Una moratoria de facto imposta dalla norma nazionale che riguarda non l’esercizio della attività ispettiva ed il potere sanzionatorio del Garante in sè ma la valutazione ex lege di attenuanti applicabili al caso concreto che deve essere fatta a monte dall’Autorità nazionale che, se non adempiuta, lascerebbe spazio a possibili azioni di annullamento delle sanzioni irrogate dal Garante.