GDPR PRIVACY: SCATTANO LE SANZIONI

Il periodo di tolleranza per le inadempienze al nuovo regolamento previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101 è giunto al termine. A partire dal 20 maggio 2019 il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Le aziende e le PA dovranno farsi trovare pronte per sostenere eventuali controlli o ispezioni da parte del Garante, in collaborazione con la Guardia di Finanza.

Per la conformità al GDPR, enti ed organizzazioni devono configurare un «sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti: 1) Registro dei Trattamenti 2) Informative 3) Lettere di Designazione 4) Procedure 5) Registro Data Breach 6) Analisi dei rischi e DPIA Data Protection Impact Assessment

Diventa così fondamentale che le imprese abbiano ben presente quali sono i reali rischi di sanzione.
Il regolamento europeo distingue due gruppi di violazioni.

Nel primo gruppo, riguardante inosservanze degli obblighi del titolare, del responsabile del trattamento e dell’organismo di controllo, le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore.

Nel secondo gruppo sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano le inosservanze dei principi del trattamento (comprese le condizioni relative al consenso), dei diritti degli interessati, dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri e di un ordine, limitazione (provvisoria o definitiva) di trattamento o di sospensione dei flussi di dati dell’autorità di controllo.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività. L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.