Sanzioni GDPR: da Maggio Nessuna Attenuante

Sanzioni GDPR: da Maggio Nessuna Attenuante

Per i primi mesi dall’entrata in vigore della nuova normativa sulla protezione dei dati personali, è stato garantito, anche se non precisamente regolamentato, il c.d. “grace period”, che prevede l’assenza o l’attenuazione delle sanzioni per il GDPR.

All’art. 22, c.13, del D.lgs 101/2018 leggiamo:

“Per i primi otto mesi dalla data di entrata in vigore del presente decreto [D.lgs n. 101/2018, ndr], il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”

Ciò significa che fino al 19 maggio 2019 l’autorità di controllo italiana potrà tenere conto, nell’applicazione delle sanzioni previste dal GDPR, della prima fase di applicazione della nuova disciplina normativa. Di fatto, non viene in alcun caso esclusa la disposizione di sanzioni amministrative. Semplicemente si ipotizza la possibilità di calmierare l’applicazione delle sanzioni, tenendo conto del primo periodo di applicazione della normativa europea, come attenuante.

Nella realtà l’art. 22 ha scatenato le più improbabili fake news e molti hanno inteso queste indicazioni come un chiaro invito alla non sanzionabilità, nei primi otto mesi di efficacia del regolamento.

Le Fake News sul Grace Period dopo la pubblicazione del D.lgs n. 101/2018

Perché l’articolo 22, c.13, del D.lgs 101/2018 è stato interpretato in molte e originali accezioni? Proviamo a capirci di più ripercorrendo le tappe dell’applicazione della normativa GDPR sulla protezione dei dati personali.

Dal 25 maggio 2016 è entrato in vigore in tutti gli Stati appartenenti all’Unione europea il General Data Protection Regulation, meglio conosciuto come GDPR.

Per l’emanazione del più importante intervento legislativo a livello europeo in materia di protezione dei dati personali dalla precedente Direttiva del ‘95, il legislatore ha compiuto un percorso di diversi anni. Il risultato finale è stato ciò che oggi viene qualificato come un Legal Benchmark, ossia una normativa giuridica di riferimento a livello mondiale in materia.

Il legislatore europeo aveva ben presente la portata rivoluzionaria della normativa in tema di protezione dei dati personali e ha, perciò, previsto un periodo di transizione di due anni. Ciò ha dato agli stati membri e alle organizzazioni, il tempo necessario per adottare tutti gli adempimenti di conformità nella gestione dei dati personali all’interno dei processi aziendali.

Nei due anni intercorsi dalla pubblicazione del GDPR alla sua entrata in vigore, il 25 maggio 2018, le aziende che trattano dati di cittadini europei, di qualsiasi dimensione e settore, avrebbero dovuto, anzi potuto, adeguarsi alle nuove “regole-privacy”.

In realtà, ad esclusione di alcuni big players internazionali, sono poche le organizzazioni europee che hanno adeguato i propri processi entro la data prescritta.

La gradualità nell’applicazione delle sanzioni

In alcuni stati europei si è prefigurata una gradualità variabile dell’attività sanzionatoria per la non conformità al GDPR.

Il precursore di una introduzione graduale dei poteri sanzionatori delle Autorità di controllo europee fu il Garante francese, CNIL Commission Nationale de l’Informatique et des Libertés, che, nei primi mesi del 2018, dichiarò:

“I controlli che saranno effettuati saranno principalmente intesi, come primo passo, per accompagnare le organizzazioni verso la comprensione e attuazione dei testi. In presenza di organizzazioni in buona fede, impegnate in un processo di conformità e mostrando cooperazione con la CNIL, questi controlli normalmente non porteranno, nei primi mesi, a procedure sanzionatorie su questi punti”, sebbene “i principi fondamentali della protezione dei dati rimangono in gran parte invariati (correttezza del trattamento, pertinenza dei dati, periodo di conservazione, sicurezza dei dati, ecc.) continueranno pertanto a essere rigorosamente verificati”.

Questo documento del Garante francese non introdusse alcun periodo di totale inattività sanzionatoria, ma fu sufficiente ai commentatori italiani per sottintendere una simile attitudine anche da parte dell’Autorità di controllo italiana.

Il Garante italiano per la protezione dei dati personali è intervenuto immediatamente per smentire chi avesse paventato un eventuale grace period simile a quello francese. In una nota dell’aprile 2018 a commento di un articolo si legge:

“è necessario precisare che non è vero che il Garante per la protezione dei dati personali si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie, né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore di un Regolamento europeo fissata al 25 maggio 2018″.

Dall’entrata in vigore del Regolamento alla pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101/2018 il 19 settembre 2018, le organizzazioni italiane hanno vissuto sicuramente momenti di incertezza e confusione normativa.

Molti giornalisti hanno fomentato tale incertezza, interpretando in maniera errata una norma del decreto. Sostanzialmente veniva spesso dichiarato che l’applicazione del GDPR e le temute sanzioni amministrative sarebbero state sospese nei primi mesi di applicazione della nuova normativa.

Come abbiamo visto, invece, l’art. 22, c.13, del D.lgs 101/2018 parlava esclusivamente di una possibile attenuazione nella prima fase di applicazione della nuova disciplina normativa e sanzionatoria, nei limiti in cui ciò risultasse compatibile con i principi di effettività, dissuasività e proporzionalità.

Cosa succede ora alle sanzioni per il GDPR?

Nonostante le fantasiose interpretazioni di molti giornalisti e le dichiarazioni ufficiali del Garante, dal 19 maggio 2019 non c’è più alcuna possibilità di attenuazione.

Le organizzazioni italiane che a seguito di un’ispezione da parte dell’Autorità Garante tramite il proprio “braccio armato” (rappresentato dal Nucleo Speciale Privacy della Guardia di Finanza) risultassero non a norma, non potranno più beneficiare dell’attenuante di cui al “primo periodo di applicazione della nuova normativa”.

In effetti, dopo quasi tre anni, tutte le aziende, le organizzazioni e le associazioni hanno avuto tempi e modi per adeguarsi alle indicazioni sulla nuova normativa Privacy. Le realtà italiane che oggi non hanno ancora adeguato i loro processi aziendali per conformarli ai requisiti imposti dal Regolamento Europeo potrebbero, per questo, incorrere in gravose sanzioni amministrative con conseguenti e importanti impatti sul proprio bilancio di gestione.

E voi? Avete adeguato i vostri processi aziendali per trattare e proteggere tutti i dati personali che trattate?

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.