Blog

Adeguamento GDPR: il 19 maggio scade la “fase di indulgenza”

Il prossimo 19 maggio termina il periodo previsto dal legislatore in cui il Garante avrebbe dovuto considerare, nell’applicare le sanzioni, che le nuove norme europee in materia di trattamento dei dati personali erano in una fase iniziale della loro operatività. L’articolo 22 comma 13 del Decreto Legislativo n. 101/2018 alla data della sua entrata in vigore, recita:

Per i primi otto mesi dalla data di entrata  in  vigore del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione delle disposizioni sanzionatorie.

Era il 19 settembre 2018 e, a pochi giorni dal 19 maggio 2019, possiamo dire che sono trascorsi esattamente otto mesi. Tralasciando la reale efficacia della suddetta disposizione rispetto alla data prevista per la definitiva applicazione del Regolamento n. 679/2016, 25 maggio 2018, il prossimo 19 maggio scadrà dunque il periodo in cui il Garante avrebbe dovuto tener conto, nell’applicazione delle sanzioni, che si era in una prima fase di adeguamento alle nuove norme europee in materia di trattamento dei dati personali.

Il periodo di transitoria clemenza è stato voluto dal nostro legislatore per consentire alle imprese di avere a disposizione un maggiore lasso di tempo nel complesso percorso di adattamento della compagine organizzativa alle nuove disposizioni del Regolamento n. 679/2016 che implicano necessariamente un nuovo modo di amministrare le informazioni e l’adozione di nuove abitudini nei rapporti interni ed esterni dell’organizzazione interessata.

 

Adeguarsi alla normativa GDPR è facile e veloce: scopri come con Qui Privacy!

 

GDPR: Dal 19 Maggio scattano le sanzioni

I periodi accordati, prima dal legislatore europeo (due anni; si ricorda infatti che il regolamento n. 679 è entrato in vigore già nel 2016 – 20 giorni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’UE – sebbene la sua applicazione è diventata effettiva nei confronti di tutti coloro che trattano dati personali di cittadini europei, il 25 maggio 2018), poi da quello italiano (più tolleranza per 8 mesi dall’entrata in vigore del D. Lgs. n. 101/2018), oggi però sono davvero terminati e quindi chi non si è adeguato rischia e non poco.

Si rammenta, infatti, che le sanzioni previste dal Regolamento n. 679/2016 nei casi più gravi possono arrivare fino a 20 milioni di euro e fino al 4% del fatturato mondiale annuo se a violare le norme è un’azienda – art. 83 punti 4 e 5 del Regolamento n. 679 – e se pensiamo che per casi più gravi è intesa ad esempio la violazione dei diritti degli interessati di cui agli articoli da 12 a 22, anche semplicemente non aver previsto una procedura di blocco delle email promozionali a seguito dell’esercizio del diritto di opposizione da parte di un cliente, può implicare essere sanzionati. E’ vero però che poi il Garante nell’applicazione della sanzione deve tener conto di una serie di parametri, come la natura, la gravità e la durata della violazione nel contesto del trattamento, la categoria di dati trattati (ovviamente il peso della sanzione sarà diverso se la violazione riguarderà categorie particolari di dati personali quali dati sanitari o biometrici o opinioni sindacali o politiche piuttosto che dati personali comuni), il carattere doloso o colposo della violazione, le misure tecniche e organizzative adottate, eventuali precedenti violazioni pertinenti commesse, il modo in cui l’autorità ha avuto conoscenza della violazione e altri parametri. Ma questo servirà solo a dare un valore proporzionato alla sanzione pecuniaria che verrà comunque applicata laddove l’autorità rilevi una violazione.

Ad ogni modo, quello che dovrebbe far riflettere maggiormente un’organizzazione che tratta dati personali sulla necessità di adeguarsi alle norme e sul rispetto del principio di accountability, non è solo l’ispezione, quindi l’applicazione delle sanzioni amministrative o penali, perché lo ricordiamo il Codice privacy come aggiornato dal D. Lgs. n. 101/2018 prevede anche condotte penalmente rilevanti, piuttosto eventuali segnalazioni, reclami o azioni giudiziarie da parte di clienti, dipendenti o terzi che, delusi da un trattamento o da un comportamento dell’organizzazione, potrebbero avviare contenziosi e chiedere risarcimenti.

 

Scopri le nostre soluzioni di gestione  – potenti, economiche e facili da usare – per rendere tutto più sicuro nell’IT

 

Adeguamento GDPR: è tempo di mettersi in regola

Secondo quanto stabilito dall’articolo 77 del Regolamento n. 679/2016, infatti, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il regolamento, ha il diritto di proporre reclamo a un’autorità di controllo, dello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione; il D. Lgs. n. 101/2018, che ha introdotto nel Codice Privacy le forme alternative di tutela, ha poi stabilito che l’interessato, il quale ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria e di questa possibilità, si badi bene, deve essere il titolare stesso ad informare chiaramente l’interessato nell’informativa ex articoli 13 e 14 del Regolamento n. 679/2016.

Concludendo, dunque, chi sinora ha preso tempo per adeguarsi alle nuove disposizioni in materia di trattamento di dati personali, deve essere consapevole che quel tempo è terminato e che, per una maggiore serenità, è opportuno intraprendere tempestivamente un percorso di adeguamento e cambiare il modo di gestire le informazioni riferite a persone fisiche nel contesto organizzativo.

Contributo di Spedicato Annalisa: avvocato esperto in diritto delle nuove tecnologie, diritto della proprietà industriale e intellettuale, tutela e gestione di dati personali. Si occupa di contrattualistica e consulenza legale per imprese digitali e start up innovative. Autrice di articoli e pubblicazioni, svolge anche attività di formazione nelle materie di competenza.

Leave a comment

it_ITItalian
0