Categorie

GDPR: un po' chiarezza su presunte proroghe, controlli e sanzioni

Nessuna proroga per il GDPR. Le sanzioni previste dal Regolamento UE sulla privacy sono operative già dal 25 maggio 2018.

Le voci, i commenti e le interpretazioni su una presunta proroga della applizione del Regolamento Europeo o la applicazione delle sanzioni, si rincorrono ma, lasciatemi dire, con molta poca, se non nulla, aderenza con la verità. A questo punto vorrei aiutarvi a capire meglio la situazione e lo stato dell'arte.

Come prima cosa ribadisco che non si può parlare in alcun modo di proroga: dal 25 maggio 2018 si può essere sanzionati.

Ciò che ha subito una proroga, invece, è stata la delega per l’approvazione dello schema di decreto legislativo per l’adeguamento della legge sulla privacy al Regolamento UE 2016/679: il termine era fissato al 21 maggio 2018 ma il tutto viene rinviato al 21 agosto 2018.

In questa situazione, tuttavia, è legittima la preoccupazione che riguarda le modalità con cui verranno modulate le sanzionicosa si rischia realmente ed la mancanza di indicazioni o casi pratici di violazione.

Il Garante è già intervenuto più volte sull'argomento (v. articolo Il Garante privacy smentisce: le sanzioni rimangono). In questo caso ha ulteriormente chiarito che il GDPR parla solo delle sanzioni amministrative massimi applicabili (fino a 20 milioni di euro o al 4% del fatturato). 
Le sanzioni stesse, dice il Garante, saranno applicate sulla base della gravità, della natura e della durata della violazione. Tuttavia rimane poco chiaro, ad esempio, quali parametri verranno utilizzati.

Passando a parlare di controlli e ispezioni, il comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo, spiega come si svolgeranno. Innanzitutto chiarisce che, sugli obblighi imposti dal GDPR, i controlli della Guardia della Finanza partiranno da subito e in tal senso, ai fini di accertamento, "è del tutto irrilevante  la pubblicazione del decreto di adeguamento anche dopo la proroga della delega stessa". I controlli sulla nomina del DPO, ad esempio, partiranno da subito. Ma non solo. In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento; associato a questo, e parimenti importante sarà, non soltanto dimostrare di trattare i dati secondo le regole previste dal GDPR, ma dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi.

I titolari del trattamentto dei dati dovranno render conto in maniera responsabile di quanto fatto.

Dalle richieste e da confronti con i nostri clienti emerge che la preoccupazione maggiore riguarda l'invio delle informative e la raccolta del consenso. Anche se si tratta di aspetti importanti vorrei raccomandare di non sottovalutare gli aspetti fondamentali. Entrando più nello specifico, le ispezioni partiranno da subito sugli adempimenti, appunto obbligatori e fondamentali, per l’adeguamento al GDRP:

  • nomina del DPO, il responsabile della protezione dati;
  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
  • registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

​Per quanto riguarda ancora le sanzioni, non sarà la Guardia di Finanza ad applicarle. L’attività ispettiva ha il solo fine di accertare il rispetto dei principi di tutela stabiliti dal GDPR. Sarà il Garante a valutare se necessaria l’applicazione della sanzione:  gli elementi raccolti durante le ispezioni garantiranno che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Ultime news

Tags

Informatore Informatico - Blog di In.Ser.T. srl in collaborazione con Martinelli spa e Pc Copia srl - Design by: In.Ser.T srl - Copyright 2016 - Privacy Policy

info@informatoreinformatico.it