Nessuna proroga per il GDPR. Le sanzioni previste dal Regolamento UE sulla privacy sono operative già dal 25 maggio 2018.

Le voci, i commenti e le interpretazioni su una presunta proroga della applizione del Regolamento Europeo o la applicazione delle sanzioni, si rincorrono ma, lasciatemi dire, con molta poca, se non nulla, aderenza con la verità. A questo punto vorrei aiutarvi a capire meglio la situazione e lo stato dell'arte.

Come prima cosa ribadisco che non si può parlare in alcun modo di proroga: dal 25 maggio 2018 si può essere sanzionati.

Ciò che ha subito una proroga, invece, è stata la delega per l’approvazione dello schema di decreto legislativo per l’adeguamento della legge sulla privacy al Regolamento UE 2016/679: il termine era fissato al 21 maggio 2018 ma il tutto viene rinviato al 21 agosto 2018.

In questa situazione, tuttavia, è legittima la preoccupazione che riguarda le modalità con cui verranno modulate le sanzioni, cosa si rischia realmente ed la mancanza di indicazioni o casi pratici di violazione.

Il Garante è già intervenuto più volte sull'argomento (v. articolo Il Garante privacy smentisce: le sanzioni rimangono). In questo caso ha ulteriormente chiarito che il GDPR parla solo delle sanzioni amministrative massimi applicabili (fino a 20 milioni di euro o al 4% del fatturato).

Le sanzioni stesse, dice il Garante, saranno applicate sulla base della gravità, della natura e della durata della violazione. Tuttavia rimane poco chiaro, ad esempio, quali parametri verranno utilizzati.

Passando a parlare di controlli e ispezioni, il comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo, spiega come si svolgeranno. Innanzitutto chiarisce che, sugli obblighi imposti dal GDPR, i controlli della Guardia della Finanza partiranno da subito e in tal senso, ai fini di accertamento, "è del tutto irrilevante  la pubblicazione del decreto di adeguamento anche dopo la proroga della delega stessa". I controlli sulla nomina del DPO, ad esempio, partiranno da subito. Ma non solo. In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento; associato a questo, e parimenti importante sarà, non soltanto dimostrare di trattare i dati secondo le regole previste dal GDPR, ma dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi.

I titolari del trattamentto dei dati dovranno render conto in maniera responsabile di quanto fatto.

Dalle richieste e da confronti con i nostri clienti emerge che la preoccupazione maggiore riguarda l'invio delle informative e la raccolta del consenso. Anche se si tratta di aspetti importanti vorrei raccomandare di non sottovalutare gli aspetti fondamentali. Entrando più nello specifico, le ispezioni partiranno da subito sugli adempimenti, appunto obbligatori e fondamentali, per l’adeguamento al GDRP:

nomina del DPO, il responsabile della protezione dati;

controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);

registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

​Per quanto riguarda ancora le sanzioni, non sarà la Guardia di Finanza ad applicarle. L’attività ispettiva ha il solo fine di accertare il rispetto dei principi di tutela stabiliti dal GDPR. Sarà il Garante a valutare se necessaria l’applicazione della sanzione:  gli elementi raccolti durante le ispezioni garantiranno che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.