l'analisi

Digilawyer. GDPR, corto circuito sui DPO. Perché le nomine sono state indirizzate al Garante Privacy? 

di Gianluca Pomante, Avvocato Cassazionista – esperto d’informatica e comunicazione |

Sebbene la normativa porti a considerare tale Autorità la naturale depositaria della precedente esperienza e, quindi, la candidata migliore al ruolo di Autorità di controllo ai sensi dell'art. 51 del Regolamento, di fatto non è stata data attuazione alla prescrizione ivi prevista, di individuarla. 

La rubrica DigiLawyer, ovvero riflessioni sul “diritto e il rovescio” di Internet fra nuove potenzialità e storture della rete, a cura di Gianluca Pomante, Avvocato Cassazionista esperto di informatica e comunicazione. Per consultare gli articoli precedenti clicca qui.

Molte Pubbliche Amministrazioni e centinaia di aziende private sono state colte impreparate dagli adempimenti connessi al GDPR, a causa dei “soli” due anni concessi per l’adeguamento dal Legislatore Europeo.

In particolare, l’obbligo di provvedere alla nomina del Responsabile per la Protezione dei Dati, prevista dall’art. 37 del Regolamento, ha portato alla saturazione delle risorse di sistema del sito del Garante per la protezione dei dati personali, che per diverse ore, nella mattina del 24 maggio, è risultato irraggiungibile.

Tuttavia, dato che il nostro Governo, nonostante la legge delega risalisse a novembre, non è riuscito ad adeguare in tempo il D.Lgs. 196/2003 al Regolamento Europeo, lasciando scadere anche il termine ultimo del 21 maggio u.s., sorge spontanea una domanda in attesa di un nuovo intervento del Parlamento: perché le nomine dei DPO sono state indirizzate al Garante per la protezione dei dati personali?

Sebbene la precedente normativa porti a considerare tale Autorità la naturale depositaria della precedente esperienza e, quindi, la candidata migliore al ruolo di Autorità di controllo ai sensi dell’art. 51 del Regolamento, di fatto non è stata data attuazione alla prescrizione ivi prevista, di individuarla.

Ne consegue che, formalmente, l’Autorità Garante per la protezione dei dati personali, istituita ai sensi dell’art. 153, D.lgs. 196/2003, non è stata ancora investita del potere di applicare il GDPR, giacchè il Regolamento stesso specifica che deve essere lo Stato membro ad individuare una o più autorità di controllo.

E senza tale trasferimento di pubblici poteri, può il Garante ricevere notifiche e, soprattutto, irrogare sanzioni, senza incorrere in censure di carenza di potere? Probabilmente, nella norma che dovrà aggiornare il D.Lgs. 196/2003 sarà prevista anche una disciplina transitoria per rimediare all’ennesimo corto circuito istituzionale.


La precisazione del Garante Privacy

In riferimento a quanto riportato nell’articolo “Digilawer. GDPR, corto circuito sui DPO. Perché le nomine sono state indirizzate al Garante Privacy?”, Key4Biz 29 maggio, si precisa che la Legge di bilancio 2018 (27 dicembre 2017 n. 205, art. 1 c. 1020) nell’effettuare un primo adeguamento del nostro ordinamento al nuovo Regolamento europeo ha attribuito al Garante per la protezione dei dati personali il compito di tutelare i diritti dallo stesso riconosciuti.

Ove, anche, non vi fosse già stata una scelta tanto esplicita del legislatore, il Garante sarebbe stata comunque l’Autorità indipendente incaricata di vigilare sull’applicazione del Regolamento, in quanto, in attesa del decreto legislativo, le disposizioni che individuano il Garante come Autorità di riferimento, non essendo in contrasto con le disposizioni del Regolamento stesso, continuano ad applicarsi.

Quest’ultima è del resto l’interpretazione accolta anche negli altri Paesi europei che non hanno ancora provveduto a dare attuazione al Regolamento.

Roma, 29 maggio 2018

Ufficio stampa

Garante per la protezione dei dati personali