Da lunedì potranno essere applicate le sanzioni massime previste per chi non rispetta le regole del GDPR. Termina infatti il periodo, erroneamente definito di “moratoria”, durante il quale le multe sono state più leggere (ossia periodo di applicazione attenuata ex decreto 101/2018).
Una finestra temporale di tolleranza, contemplata in quanto la normativa europea in materia di privacy era fresca di introduzione ed era comprensibile che le aziende potessero incontrare difficoltà ad adeguarsi.
Ora non ci sono più scuse, chi sbaglia pagherà – e anche profumatamente: i massimali prevedono il 4% del fatturato mondiale dell’impresa multata.
Indice degli argomenti
Non chiamiamola “moratoria”: le sanzioni ci sono già
Dall’entrata in vigore del GDPR è passato ormai un anno. Le aziende dovrebbero essere compliant da un pezzo: “Nelle realtà grandi e grandissime l’importanza della materia è passata, sono stati fatti investimenti, i dati che abbiamo come Politecnico e Clusit ci confermano che la tematica risulta affrontata – spiega a Cybersecurity360.it Gabriele Faggioli, AD di P4I, presidente del Clusit e responsabile scientifico dell’Osservatorio Security&Privacy del Politecnico di Milano -. Le PMI invece, hanno dato risultati meno confortanti”.
Il rischio di essere sanzionati per le irregolarità relative al GDPR già era presente. Gli ultimi mesi non hanno rappresentato una parentesi dove tutto era lecito e l’autorità chiudeva gli occhi: “In realtà la moratoria di cui molti hanno parlato, non è mai esistita, c’era semplicemente l’invito a sostenere le imprese più che a sanzionarle – racconta Francesco Pizzetti, docente di Diritto costituzionale ed ex presidente dell’Autorità garante per la privacy -. Adesso, a un anno dall’entrata in vigore del regolamento, l’autorità applicherà le sanzioni previste dal GDPR nella loro pienezza. Da sottolineare che in questi anni le sanzioni erano adottate in base alla vecchia normativa”.
I poteri sanzionatori non erano sospesi: “Il Decreto legge 101/2018 che ha modificato il Codice della privacy armonizzandolo al GDPR ha posto una raccomandazione dicendo nei primi otto mesi dall’entrata in vigore del presente decreto l’autorità doveva tener conto della fase d’avvio – sottolinea l’avvocato Rocco Panetta -. Un criterio di alleggerimento, non un invito a ignorare, ma a far quello che è successo ad esempio con Rousseau”. Alla piattaforma infatti “è stata applicata una sanzione da 50.000 euro, lieve. Più volte è passato il messaggio della moratoria, ma non è così. Può anche essere che il Garante abbia erogato anche sanzioni già avvenuta la cui pubblicità arriverà più avanti. Bisognava stare attenti da tempo”.
Le nuove sanzioni GDPR
Conti più salati dunque per i trasgressori: “Per le società commerciali le multe possono arrivare fino al 4% del fatturato, nel caso di partiti, associazioni e pubbliche amministrazioni, si applica il criterio della sanzione fino a 20 milioni di euro”, precisa Panetta.
Già annunciati i controlli programmati del Garante della privacy, che saranno svolti anche con il supporto della Guardia di finanza. In primis, saranno controllate le aziende di settori particolari: “È stato pubblicato il programma dei prossimi sei mesi, saranno coinvolte società commerciali che hanno sistemi di carte fedeltà, Grande distribuzione, società del lusso, trasporti, telecomunicazioni, banche, insomma tutti coloro che hanno programmi per raccogliere dati e fidelizzare – precisa Panetta -. Oltre questi ambiti, le verifiche riguarderanno anche tutti quelli che fanno marketing profilando”.
Ma i controlli non si basano solo sulle attività programmate: “C’è anche un meccanismo legato al caso. Dobbiamo considerare che nessuno è indenne dalla possibilità di essere controllato. C’è anche l’ambito delle segnalazione, che ci si aspetta porti a ispezioni. Sono diversi i canali”, conclude Panetta.
Lo scenario
La conclusione del periodo di “leggerezza” sulle sanzioni è una data importante: “Finché non si vede un’autorità decisa a far rispettare le regole, le si possono considerare opzionali e questo è grave per lo sviluppo economico del Paese – sottolinea Pizzetti -. Auspichiamo in un’azione incisiva”.
Per le aziende tuttavia in concreto non ci saranno cambiamenti: “Da un punto di vista pratico non cambia nulla per le aziende – precisa Faggioli -. Mi risulta oltretutto che il Garante abbia già iniziato a fare i controlli. Succederà che se si dovessero riscontrare irregolarità si applicheranno le sanzioni”. Prima “nel caso in cui avessero applicato sanzioni in base al GDPR avrebbero dovuto fare una valutazione di bonarietà, applicare una riduzione più o meno soggettiva. Ora no, il rischio sanzionatorio oggi collegato a un’irregolarità è un rischio pieno”.
Tolleranza zero GDPR, al via le ispezioni del Garante per la privacy