端的に言えば :イタリアのGDPR(General Data Protection Regulation :一般データ保護規則) は完全な混乱を来しており、それはまさにスパゲッティコードの輝かしい見本のようである。
解説: GDPRは2016年に可決され、イタリア議会および個人データ保護庁は、国内法をGDPRおよび欧州の規則についての新しいガイドと調和させるのに必要な期間とし 2018年5月25日まで2年もの猶予を与えられた。
しかしながら、その後議会も当局も何も行動を起こすことなく2017年12月を迎え、議会は2018年5月21日までに国内法をGDPRに変更する法令を出すことを政府に要請したが、法令の最初の草案が間違っていたため政府はこの期限を守らなかった。 新しい草案は極秘にされており、2018年8月10日にようやく可決され共和国大統領の署名を得ることができたものの、今日現在まだオフィシャルに発表されてはおらず、問題はまだ解決されてはいない。
極めて重要な法令が可決されるには、 政府がその法令を行使する許可を得るため議会から公布された委任条令が必要で、その条令にはそれが適用される地域の範囲と期限が明記されていなければならず、いずれかの、または両方の条件について意見一致を得ることができない場合、法令は可決されることなく、議題は再び議会へ戻ることになる。
法令の最初の草案は内容に明らかなミスがあり発令は難しく、議会は
イタリア個人情報法典の”改正”を要請、政府は委任条令のリミットを越えてそれを廃止するに至ったのである。
しかも、この最初の草案のミスによって5月21日の期限を守ることは不可能になり、その結果として政府は2018年8月21日という新たな期限を設けることとなった。しかしこの期間延長は正当性を欠くものであった。
このことを要因とする数々の影響:
- 施行されようとしている法令は遵守されなければならないが、 個人データ保護当局がデータの取扱い者を審議にかけたり、または データ管理者が司法の場に召喚された場合に、裁判所で意義を唱えられることも起こり得る。
- データの取扱い者は、法令廃止の可能性があるとしても、この法令を遵守しなければならない。
3.データの取り扱い者は法令との適合性について再検討する必要がある。
4.データの取り扱い者は、もし最初の期限である5月21日が順守されていたとしても、GDPRに従うためのコンディションを期間以内に整えることはできなかったが、罰金を課せられる可能性はある。個人データ保護当局は言うまでもなく、議会や政府に至っても、GDPRの適用を遅らせる権利を有していない。
5.”オフィシャルではない”法令はあるものの、最終草案は現時点でもコカ・コーラのレシピ並みに極秘扱いされている。このことは、多くのオーナーや企業責任者など、この件に関心をもつ多くの人たちに混乱を招いている。短い期間で議会の総意を得るためには、可能な限り早く草案を提出するべきだったのだが、奇妙なことに議会もデータ保護当局も、それをしなかったのである。
結論:欧州その他海外の企業たちはイタリアのGDPR導入を前に大変困難な時期を迎えるであろう。
幸運あれ!