Le sanzioni GDPR stanno arrivando, per tutti i Paesi. A un anno dall’entrata in vigore del Regolamento europeo per la protezione dei dati personali, i Garanti dell’Unione Europea sono pronti a sanzionare le aziende che peccano in materia di compliance. Questo sembra valga soprattutto per le multinazionali d’Oltreoceano: in Irlanda sarebbero diciotto le inchieste aperte per valutare presunte violazioni al regolamento.
Questo è emerso durante il Global Privacy Summit 2019 organizzato da IAPP – International Association of Privacy Professionals di cui l’avvocato Rocco Panetta è country leader italiano: “La situazione presenta interessanti lezioni per le aziende italiane”, dichiara a Cybersecurity360.it. In Italia, per altro, il 15 maggio finisce la moratoria sulle sanzioni di cui ad art.22 del d.lgs.n.101 del 2018, relativa ai primi 8 mesi da entrata in vigore Codice novellato.
Indice degli argomenti
L’annuncio dell’autorità irlandese
Nel corso dell’evento organizzato a Washington, DC dalla più grande associazione di professionisti della privacy, che conta circa sessantamila iscritti nel mondo, il commissario irlandese per la privacy Helen Dixon ha annunciato che sono in corso diciotto indagini per valutare la regolarità del trattamento dei dati da parte delle aziende in relazione al GDPR. Le sanzioni sono previste per la seconda metà di quest’anno, ma l’autorità non ha escluso che qualcuna potrebbe arrivare anche prima dell’estate.
Nel mirino ci sarebbero soprattutto multinazionali statunitensi, che hanno sede legale in Irlanda. Ecco perché a occuparsi della questione è l’autorità locale: “Il GDPR ha introdotto un principio in virtù del quale per evitare che più autorità indaghino sulla stessa situazione, si può individuare una leading authority, il primo criterio per la scelta è proprio quello della territorialità – racconta Panetta -. Il garante irlandese prima del GDPR non aveva poteri sanzionatori, ora si trova di colpo alla ribalta con molta autorevolezza, avendo sotto il proprio controllo grandi aziende”.
Panetta commenta: “I diciotto procedimenti verosimilmente si concluderanno con sanzioni, ma sarà l’EDPB a pronunciarsi in merito perché devono essere curati gli interessi di tutte le altre giurisdizioni oltre a quella irlandese. Tutte le autorità dei Paesi europei coinvolti contribuiranno. Il GDPR ha ridotto i tempi dei procedimenti ma la macchina ha bisogno di rodaggio, si aspettano le decisioni nel secondo semestre dell’anno, ma potrebbe arrivare qualcosa anche prima dell’estate”.
Sanzioni GDPR: la lezione per le PMI italiane
La situazione presenta un doppio insegnamento per le aziende italiane, in particolare le piccole e medie imprese. Da una parte “l’insegnamento per cui il GDPR non finiva con la sua entrata in vigore, non era necessario solo un adeguamento preventivo, cosa che rappresenterebbe un grave errore – spiega Panetta -. Si tratta di un tema che richiede continua manutenzione“.
Utile poi capire che il GDPR “non è stato scritto solo per le multinazionali. Le sanzioni stanno arrivando per tutti. Le aziende italiane, soprattutto le PMI, non devono credere che il GDPR è stato scritto solo per le grandi imprese, perché il regolamento chiama alla responsabilità tutti i soggetti, anche le pubbliche amministrazioni. Anche un Comune che tratta dati deve rispettare queste norme e può essere soggetti al sindacato ispettivo delle autorità”.
