Si parla spesso di fake news e del loro impatto mediatico, basti pensare che il dibattito sul tema si è sviluppato anche in seno alla stessa Commissione Europea.

Ebbene, in data odierna una “notizia falsa” ha riguardato proprio il GDPR (General Data Protection Regulation) diffondendo un messaggio, oltre che fuorviante, potenzialmente anche molto pericoloso. La notizia circolata in rete era indirizzata alle aziende italiane, allo scopo di “tranquillizzare” in tema “sanzioni”. Secondo quanto diffuso, infatti, il Garante italiano, in un provvedimento del 22 febbraio avrebbe concesso una sorta di periodo di grazia di sei mesi alle realtà non ancora allineate alla normativa, garantendo di non comminare alcuna sanzione in tale periodo.

Non è assolutamente così. La smentita dell’Autorità, infatti, non sì è fata attendere, giungendo a poca distanza dalla diffusione della fake news. Nessun periodo di grazia, quindi, la data del 25 maggio, corrispondente all’acquisizione di piena efficacia del GDPR coincide impietosamente con la possibilità di emanare anche le sanzioni previste, che è bene ricordarlo posso ammontare ad un massimo di 20milioni di euro, oppure al 4% del fatturato annuo, se superiore.

Il disguido, i cui risvolti potevano essere davvero catastrofici se non tamponati per tempo, sorge dalla convergenza di due elementi.

Il primo è identificabile nella parte finale del provvedimento citato, dove si legge “Considerato che la delega per l’attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata (…) si ritiene opportuno differire l’applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall’entrata in vigore del predetto decreto”.

La proroga si riferisce quindi, come evidente dal tenore squisitamente letterale dell’inciso, all’applicazione del provvedimento, e alla piena applicabilità delle sanzioni. Lo stesso, infatti, si articola nell’esplicazione di tre punti specifici:

1) Monitoraggio e vigilanza sulla corretta applicazione del Regolamento;

2) Verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati siano messi a disposizione degli interessati;

3) Trattamento di dati personali tramite nuove tecnologie o strumenti automatizzati fondato sul cd. legittimo interesse e informativa agli interessati.

Le “sanzioni” non rientrano di fatto tra questi. Solo in un passaggio è possibile rintracciare un accenno ai “poteri sanzionatori” del Garante, tuttavia insufficiente a comprovare la fondatezza della fake news.

Da una consultazione oculata e prudente del provvedimento, tuttavia, ben si comprende che la parte finale riguarda le modalità attuative suggerite dall’Autorità, in modo da garantirne il coordinamento con il decreto attuativo delle disposizioni del Regolamento di cui alla legge n. 205/2017. Una postilla chiara che difficilmente può indurre in errore.

Il secondo elemento è rintracciabile nella scelta del CNIL, il corrispondente francese del Garante italiano, di concedere un “grace period” durante il quale coloro che non risulteranno ancora allineati alle disposizioni del Regolamento Europeo, saranno esenti da sanzioni, purchè il processo di adeguamento sia quantomeno partito con le giuste premesse. Tale decisione del CNIL è stata presentata quale autorevole precedente che avvalorasse la notizia diffusa. Tuttavia è la base stessa della news ad essere inadeguata, quindi “nulla questio”, con buona pace delle false speranze alimentate.