Ad un anno esatto dall’entrata in vigore del Reg.UE 679/2016, meglio noto come GDPR e ad 8 mesi dall’attuazione anche per l’Italia (scorso settembre) ad opera del D.lgs. 101/2018, ancora molte realtà aziendali sembrano non avere percepito la serietà e l’obbligatorietà della norma, la sua portata innovativa di cambiamento, ma soprattutto i rischi di vedersi oggetto di sanzioni estremamente pesanti, modulabili dal Garante sulla base della gravità delle irregolarità riscontrate.
Sebbene si auspichi che il nostro Garante si attenga al principio della ragionevolezza, vista anche l’oggettiva complessità del Regolamento, occorre sottolineare come, dal prossimo 20 Maggio tutte le organizzazioni obbligate all’adeguamento, che si trovassero sprovviste di una nuova organizzazione responsabile dei propri sistemi di sicurezza e delle procedure aziendali, potranno vedersi applicare sanzioni che potranno arrivare sino al 4% del loro fatturato annuo.
Il 19 maggio 2019 scade infatti il periodo di prima applicazione, in cui il Garante deve, per legge, mostrare la sua comprensione e, nei limiti del (giuridicamente) possibile, “andarci piano” con le sanzioni per violazioni del Regolamento Ue 2016/679 (Gdpr) e del nuovo Codice della privacy (figlio del dlgs 101/2018).
Ora, però, alla porta ci sono 7.219 reclami e segnalazioni e 946 notificazioni di violazioni della privacy. Si parla già di 100 Ispezioni programmate.

Le aziende che in questi mesi non si saranno adeguate alle prescrizioni in materia di privacy verranno valutate a posteriori in base:
– ai risultati conseguiti;
– alla capacità di essersi adeguate, tenendo conto delle proprie specifiche realtà lavorative e del progresso tecnologico.

Non si può trascurare il fatto che per loro l’incubo delle sanzioni è imminente.

DAL PROSSIMO 20 MAGGIO COLORO NON ADEGUATI ALLE DISPOSIZIONI DEL GDPR SULLA PROTEZIONE DEI DATI RISCHIANO SANZIONI MOLTO ELEVATE

Per rispondere all’ovvio interrogativo se ci possano essere alternative alle severe sanzioni, occorre analizzare il testo del Regolamento.
In base al considerando n. 148 del GDPR per rafforzare il rispetto del Regolamento dovrebbero essere previste sanzioni, anche di tipo amministrative pecuniario da aggiungere o sostituire ad altre misure. Tuttavia se la violazione è minore e la sanzione pecuniaria dovesse rappresentare un onere sproporzionato per una persona fisica, allora si potrà applicare un ammonimento.

In ogni caso si deve tenere conto della natura, della gravità e alla durata della violazione, del carattere doloso, delle misure adottate per attenuare il danno subito, al grado di responsabilità, a eventuali precedenti violazioni, al modo in cui l’autorità di controllo è venuta a conoscenza della violazione, meglio “al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta ed eventuali altri fattori aggravanti o attenuanti.”

Le statistiche ci dicono sia in Italia che in Europa le aziende stentano ancora a conformarsi al Gdpr.

L’assenza di criteri precisi di valutazione necessari all’irrogazione delle sanzioni del resto forse ha veicolato un’erronea fiducia di non applicazione delle sanzioni. Purtroppo occorre ribadire in modo erroneo.
Preoccuparsi solamente o peggio nicchiare, quindi non basterà più, occorre attivarsi rapidamente seguendo il principio dell’auto responsabilizzazione sancito dalla normativa, che impone di determinare soggettivamente i bisogni della propria realtà, conformandosi nel perimetro tracciato dal Regolamento, nei meandri di oltre 90 adempimenti cui adeguarsi. Il tempo è scaduto.