la smentita del garante

Gdpr, nessun rinvio delle sanzioni alle aziende

di |

A Key4biz l’Autorità per la protezione dei dati personali smentisce quanto riportato su Agendadigitale.eu, secondo cui il Garante privacy avrebbe congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr: ‘Il Garante non si è pronunciato su un ipotetico periodo di grazia’.

Diversamente da quanto pubblicato su Agendadigitale.eu, il Garante Privacy fa sapere di non “essersi pronunciato su un ipotetico periodo di grazia” durante il quale non sanzionerebbe le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo. Per cui risulta falsa la notizia secondo cui l’Autorità per la protezione dei personali “ha congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr”. A Key4biz l’Authority ha dichiarato “Non ci siamo pronunciati su un ipotetico periodo di grazia e il provvedimento citato non ha nessun nesso con il tema delle sanzioni”.

Il provvedimento in questione è quello del 22 febbraio 2018 “che riguarda due adempimenti richiesti dalla legge di Bilancio 2018 e non ha nessun legame con la questione delle sanzioni”, fanno ancora sapere dall’Autorità Garante Privacy.

Dunque dal 25 maggio non cambierà nulla in Italia rispetto a quanto già previsto. Il Regolamento generale in materia di protezione dei dati sarà, pienamente, efficace dal 25 maggio e l’avverbio ‘pienamente’ riguarda anche l’applicazione delle sanzioni perché il regolamento Ue 2016/679 è già in vigore dal 24 maggio 2016. Per essere chiari, in presenza, per esempio, di un nuovo scandalo Cambridge Analytica le sanzioni scatterebbero subito, il Garante Privacy non vuole affatto concedere proroghe.

 La nota ufficiale del Garante Privacy

Alle ore 12 è arrivata anche la nota ufficiale dell’Autorità: “Con riferimento all’articolo Gdpr, il Garante privacy rimanda di sei mesi controlli e sanzioni: che significa per le aziende, pubblicato oggi su Agendadigitale.eu,  è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018″.

Cosa dice il provvedimento del Garante Privacy del 22 febbraio 2018

Ad essere differite sono le specifiche indicazioni che il legislatore aveva previsto venissero inserite nel provvedimento, ma non certo le disposizioni del Regolamento, che si applicheranno inderogabilmente a partire dal 25 maggio.

Pertanto, proprio il differimento di tali specifiche indicazioni, evidenzia la piena e completa applicabilità del Regolamento in quanto tale.

L’esigenza del differimento serviva proprio ad avere un quadro più chiaro del complesso delle scelte ordinamentali che sarebbero state assunte con il decreto legislativo di adeguamento del nostro ordinamento interno al GDPR, evitando di rendere operative indicazioni eventualmente non pienamente conformi con il regolamento medesimo.

Si deve, quindi, ancora una volta ribadire la integrale applicazione del regolamento e delle conseguenti attività del Garante a decorrere dal 25 maggio.

In poche parole, proprio per evitare il rischio che ogni ulteriore indicazione potesse essere interpretata in modo da limitare la piena applicazione del regolamento, si è deciso di differire l’efficacia del provvedimento che le conteneva (a dopo l’approvazione del decreto legislativo che dovrà adattare il nostro ordinamento al GDPR). Tale differimento mostra quindi la piena e incontrovertibile applicabilità del GDPR e di tutte le funzioni che lo stesso assegna alle autorità di protezione dati.

A quanto ammontano le sanzioni previste dal Gdpr?

Chi non rispetta il regolamento rischia sanzioni fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo.

Il grace period del Garante Privacy francese 

La fake news, sul congelamento per 6 mesi delle sanzioni da parte del Garante Privacy italiano, nasce dalla scelta dell’omologo francese di preferire il grace period.

Infatti il CNIL, la Data Protection Authority francese, ha annunciato un periodo durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo 2016/679 – GDPR.

Si tratta del primo Stato membro che adotta una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment).

Il comunicato del CNIL – qui consultabile–  identifica nei “primi mesi” la portata del grace period.

L’Autorità francese però pone delle condizioni. I titolari dovranno dimostrare:

  • di avere avviato un processo di GDPR compliance;
  • che il ritardo è accumulato in buona fede;
  • spirito di collaborazione con l’Autorità.

Rimarranno sanzionabili le condotte che violano i principi della normativa privacy nazionali, confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, messa in sicurezza).