+39 333 1328522 
Il GDPR è entrato in vigore il 25 maggio 2018 ed ora, dopo un periodo di tolleranza prevista dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza, iniziano i controlli e con essi l’applicazione delle sanzioni ove e nelle misure previste.
Il legislatore, con il Decreto legislativo 101/2018 aveva infatti adottato un criterio graduale nell’applicazione della normativa europea consapevole che per aderire alle nuove e stringenti regole sulla riservatezza fosse necessario effettuare revisioni complessive dell’organizzazione aziendale, a volte lunghe e complesse.
Nello specifico, il comma 13 dell’articolo 22 del Decreto di cui trattasi prevedeva che per otto mesi a partire dal 19 settembre 2018 il Garante della Privacy tenesse conto dell’introduzione delle nuove norme europee nell’applicazione delle sanzioni amministrative, pur nella verifica della compatibilità con il GDPR dell’impianto creato dall’azienda.
La moratoria di otto mesi poteva comunque aver indotto le aziende interessate a prendere tempo. Per tale motivo e per dimostrare che l’azienda si era allineata con i nuovi obblighi sulla tutela dei dati, è utile adottare il cosiddetto “privacy impact assesment”, cioè una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet ed altro. In sintesi, bisogna dimostrare che è stata elaborata una check list di tutti i sistemi che possono essere vulnerabili, nel qual caso la situazione va obbligatoriamente notificata al Garante.
Un altro aspetto che va verificato, è la tenuta del registro dei trattamenti, obbligatorio ad esclusione di alcuni casi; ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure coinvolte nella privacy.
Questi controlli mirati che attestano che l’azienda non è stata inerte rispetto agli adempimenti del GDPR, possono evitare l’applicazione delle pesanti sanzioni, come di seguito elencate, senza pensare alla pesante ricaduta sul piano dell’immagine, in quanto le determinazioni del Garante vengono rese pubbliche.
Le sanzioni amministrative
Fino a 10 milioni di euro, se l’importo è superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
- obblighi del titolare o del responsabile del trattamento su consenso dei minori, identificazione dell’interessato, registro delle attività di trattamento, misure di sicurezza; data breach, valutazione d’impatto, certificazione della tutela dei dati;
- obblighi dell’organismo di certificazione sulle procedure di certificazione della tutela dei dati;
- codici di condotta;
Fino a 20 milioni di euro, per le imprese e se l’importo è superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
- regole sulla liceità del trattamento e il consenso;
- informativa, diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati, di opposizione;
- procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali;
- norme relative al trattamento dei dati in materia di giornalismo e rapporti di lavoro;
- inosservanza di una prescrizione del Garante.
Al di là dei vincoli e delle conseguenze per la mancata sua applicazione, il GDPR costituisce uno straordinario strumento di tutela per i singoli e per la società.
E perché le nuove generazioni ne siano consapevoli e divengano protagonisti del controllo dei dati e della privacy è necessario operare sulla formazione che rimane la fondamentale chiave per gestire il cambiamento.
Ancora una volta un bravo professionista esperto in materia potrà guidare il processo di applicazione della normativa ma ancor più far crescere la consapevolezza e quindi la cultura della riservatezza e della tutela dei dati per il singolo e per la collettività.