Pur non esistendo alcun margine di deroga o proroga per l’attuazione del GDPR, per alcuni aspetti rilevanti per aziende pubbliche e private il Regolamento rimanda alle normative nazionali. Ciò genera non poche incertezze, dal momento che a tutt’oggi in Italia sussiste ancora un vecchio Codice Privacy (Dlgs 196/2003) non allineato al GDPR. La Commissione nominata presso il Ministero della Giustizia ha potuto iniziare i lavori di adeguamento della normativa italiana solo a gennaio, approvando di recente in via preliminare lo schema di un nuovo decreto legislativo, che difficilmente vedrà la luce in tempo per fornire i chiarimenti che le imprese avrebbero voluto prima della scadenza.
Tali ritardi non costituiranno una giustificazione per gli inadempienti: le aziende che saranno trovate fuori regola rischieranno sanzioni fino a 20 milioni di euro o fino al 4% del fatturato.
Federprivacy ha quindi dedicato una specifica circolare al tema delle questioni di diritto transitorio che accompagnano il passaggio dall’attuale Codice della Privacy al nuovo Regolamento UE 2016/679, come spiega Nicola Bernardi, presidente della principale associazione italiana di riferimento dei professionisti della protezione dei dati: “In questa delicata fase di transizione in cui permangono non poche zone grigie nell’attuazione del GDPR, nella nostra ultima circolare abbiamo messo a fuoco sei principali punti fermi che aziende pubbliche e private non possono ignorare o tralasciare, a prescindere dai prossimi sviluppi normativi nel contesto italiano. In particolare – sottolinea Bernardi – ogni titolare del trattamento deve tenere presente che i consensi raccolti anteriormente al 25 maggio 2018 saranno ancora validi solo se lo si è fatto in modo conforme al Regolamento UE, per cui potrebbe essere necessario richiederli nuovamente agli interessati, mentre questi ultimi potranno esercitare e far valere tutti i più estesi diritti che sono riconosciuti loro dal nuovo testo. Inoltre, violazioni degli obblighi di notifica dei data breach saranno sanzionabili senza necessità di recepimento in una normativa nazionale.”
La Circolare 1-2018 di Federprivacy affronta anche questioni di diritto transitorio attinenti i casi in cui non è necessario redigere la valutazione di impatto entro il 25 maggio, la disciplina contrattuale applicabile per la nomina di responsabili del trattamento, e l’applicabilità degli obblighi di nomina del data protection officer.