21 Maggio

E' SCADUTA LA FASE DI PRIMA APPLICAZIONE DEL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI (GDPR).

Il periodo di applicazione attenuata del GDPR - concessa dal Decreto Legislativo 101/2018 - si è concluso. Dal 19 maggio, il nuovo Regolamento europeo sui dati personali si considera a tutti gli effetti assimilato e il Garante per la protezione dei dati personali (l'autorità preposta all'applicazione delle sanzioni amministrative) può applicare le sanzioni per inadempimenti, senza margini di tolleranza.

L’art. 22 del D.Lgs. 101/2018 sancisce infatti che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. Tale disposizione non ha rappresentato una proroga della piena operatività delle disposizioni del Regolamento europeo, di fatto pienamente applicabile in ogni sua disposizione a partire dal 25 maggio 2018, bensì ha inteso concedere un periodo transitorio in cui l’Autorità di controllo, nell’applicare le sanzioni, doveva tenere conto della prima fase di applicazione delle nuove disposizioni.

Ciò comporta che dal 19 maggio 2019 alcuno sconto sarà auspicabile in termini di quantificazione della sanzione amministrativa irrogabile. Quindi, per chi non avesse  ancora adempiuto agli obblighi previsti dalla normativa europea, questa rappresenta un’ultima chiamata all’ordine e una ultima occasione per interrogarsi punto per punto su quali adempimenti sono stati condotti e su quali sussiste ancora necessità di implementazione.

Si rammenta, infatti, che le sanzioni previste dal Regolamento n. 679/2016 nei casi più gravi possono arrivare fino a 20 milioni di euro e fino al 4% del fatturato mondiale annuo (se pensiamo che per casi più gravi è intesa ad esempio la violazione dei diritti degli interessati di cui agli articoli da 12 a 22, anche semplicemente non aver previsto una procedura di blocco delle email promozionali a seguito dell’esercizio del diritto di opposizione da parte di un cliente, può implicare essere sanzionati). E’ vero però che poi il Garante nell’applicazione della sanzione deve tener conto di una serie di parametri, come la natura, la gravità e la durata della violazione nel contesto del trattamento, la categoria di dati trattati (ovviamente il peso della sanzione sarà diverso se la violazione riguarderà categorie particolari di dati personali quali dati sanitari o biometrici o opinioni sindacali o politiche piuttosto che dati personali comuni), il carattere doloso o colposo della violazione, le misure tecniche e organizzative adottate, eventuali precedenti violazioni pertinenti commesse, il modo in cui l’autorità ha avuto conoscenza della violazione e altri parametri. Ma questo servirà solo a dare un valore proporzionato alla sanzione pecuniaria che verrà comunque applicata laddove l’autorità rilevi una violazione.

Ad ogni modo, quello che dovrebbe far riflettere maggiormente un’organizzazione che tratta dati personali sulla necessità di adeguarsi alle norme e sul rispetto del principio di accountability, non è solo l’ispezione, quindi l’applicazione delle sanzioni amministrative o penali, perché lo ricordiamo il Codice privacy come aggiornato dal D. Lgs. n. 101/2018 prevede anche condotte penalmente rilevanti, piuttosto eventuali segnalazioni, reclami o azioni giudiziarie da parte di clienti, dipendenti o terzi che, delusi da un trattamento o da un comportamento dell’organizzazione, potrebbero avviare contenziosi e chiedere risarcimenti.

Concludendo, dunque, chi sinora ha preso tempo per adeguarsi alle nuove disposizioni in materia di trattamento di dati personali, deve essere consapevole che quel tempo è terminato e che, per una maggiore serenità, è opportuno intraprendere tempestivamente un percorso di adeguamento e cambiare il modo di gestire le informazioni riferite a persone fisiche nel contesto organizzativo.

 

Alfasic S.r.l.è a Vostra completa disposizione per approfondimenti e per affiancarVi nella gestione della materia privacy in questo momento di cambiamento legislativo. 
 

Il contenuto della presente avendo esclusivamente carattere informativo non può essere considerato esaustivo, pertanto Alfasic S.r.l. rimane a disposizione per approfondire l’argomento con le aziende interessate.