Lavoro

Gdpr e privacy: dal 20 maggio arrivano le sanzioni

Su Gdpr e privacy è pronta ad abbattersi la scure delle sanzioni per chi non si è adeguato. A distanza di otto mesi dall’entrata in vigore del d.lgs. n. 101/2018 che ha adeguato la normativa nazionale alle disposizioni del GDPR, ovvero il Regolamento n. 679-2016-UE, il 19 maggio scadono i termini per adeguarsi alla nuova disciplina sulla privacy. Un bel problema, considerando tutti gli adempimenti da rispettare.

Dal 20 maggio quindi chi non è in regola potrà essere sanzionato pesantementese non si è adeguato. Una bella pretesa considerato che il Gdpr rimette ai destinatati della normativa la responsabilità del processo di adeguamento, meglio noto come “accountability”. Un’autoresponsabilità che, se in otto mesi non è stata all’altezza degli oltre 90 adempimenti da rispettare rischia di far chiudere bottega ai ritardatari. Non si parla infatti di spiccioli, ma di sanzioni astronomiche che possono raggiungere i 200 milioni di euro o il 4% del fatturato.

Gdpr e privacy: arrivano le sanzioni

Le aziende che in questi mesi non si saranno adeguate alle prescrizioni in materia di privacy verranno valutate a posteriori in base:

  • ai risultati conseguiti;
  • alla capacità di essersi adeguate, tenendo conto delle proprie specifiche realtà lavorative e del progresso tecnologico.

Parecchio fumoso il quadro di riferimento su cui fondare i necessari giudizi, considerato che al momento i garanti privacy dei vari stati stanno ancora lavorando ai parametri da impiegare per valutare l’adeguamento al GDPR. I Garanti quindi possono ritardare, ma le imprese no? Non si può trascurare il fatto che per loro l’incubo delle sanzioni è imminente, e per molte, se il nostro garante non terrà conto di questa situazione, potrebbe presto trasformarsi in realtà.

Ci sono alternative alle sanzioni?

In base al considerando n. 148 del GDPR per rafforzare il rispetto del regolamento dovrebbero essere previste sanzioni, anche di tipo amministrative pecuniario da aggiungere o sostituire ad altre misure. Tuttavia se la violazione è minore e la sanzione pecuniaria dovesse rappresentare un onere sproporzionato per una persona fisica, allora si potrà applicare un ammonimento.

In ogni caso si deve tenere conto della natura, della gravità e alla durata della violazione, del carattere doloso, delle misure adottate per attenuare il danno subito, al grado di responsabilità, a eventuali precedenti violazioni, al modo in cui l’autorità di controllo è venuta a conoscenza della violazione “al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta ed eventuali altri fattori aggravanti o attenuanti.”

L’assenza di criteri precisi di valutazione necessari all’irrogazione delle sanzioni del resto traspare anche dalla lettura del considerando n. 150. In assenza di regole precise, ma soprattutto della difficoltà di adeguarsi a una normativa così complessa che richiede un numero di adempimenti “esagerato”, si auspica che il nostro Garante si attenga al principio principe della ragionevolezza.

sanzioni