A quasi un anno dall’effettiva entrata in vigore del GDPR, è giunto il momento di fare i conti con i reali rischi di sanzione per tutte le realtà che hanno l’obbligo di conformarsi al regolamento e che fino ad oggi hanno sempre rimandato di adempiere agli obblighi imposti. Dal prossimo 20 maggio il Garante avvierà ispezioni e controlli con l’ausilio di nuclei specializzati della Guardia di Finanza.
Indice degli argomenti
Rischio stangate
Un tema caldo, perché il periodo di grazia per le inadempienze al nuovo regolamento previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101 è giunto al termine. Tale articolo, infatti, stabilisce che per i primi 8 mesi dall’entrata in vigore del decreto il Garante, nella comminazione delle sanzioni amministrative, deve tenere conto della fase di prima applicazione delle disposizioni sanzionatorie.
Una fase di “tolleranza” che cesserà tra poco meno di due settimane. A partire dal 20 maggio 2019, infatti, le aziende e le PA dovranno essere pronte ad adempiere alle disposizioni regolamentarie e sostenere eventuali controlli o ispezioni da parte dell’Autorità che si avvale, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali. Diventa fondamentale, dunque, che le Pubbliche amministrazioni e le imprese abbiano ben presente quali sono i reali rischi di sanzione.
Sensibilizzare alla protezione del dato
Sul tema della sensibilizzazione alla cultura della protezione del dato, il colonnello Marco Menegazzo, Comandante del Gruppo Privacy, articolazione dipendente dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, è intervenuto di recente in un convegno organizzato da “Unitelma Sapienza” proprio per affrontare alcune conseguenze penali stabilite dalla normativa sulla protezione dei dati personali. In particolare, il Colonnello Menegazzo si è soffermato su uno degli illeciti penali elencati nel Titolo III del novellato codice riguardante la “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, disciplinato dall’articolo 168. Specificatamente, il primo comma stabilisce che nel caso in cui il titolare, durante il corso di un accertamento, dichiari o attesti falsamente notizie o produca atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. L’esempio classico può essere un registro del trattamento gestito male o peggio ricalcato su esperienze altrui o la notificazione di un data breach descritto in modo grossolano e superficiale.
Inoltre, in un’intervista rilasciata al Sole 24 ore, il Garante della protezione dei dati personali, Antonello Soro, ha avuto modo di definrie il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”. Il periodo di tolleranza sta, quindi, per concludersi e prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza. Nello svolgimento delle stesse, si procederà secondo un preciso criterio: prima le grandi imprese operanti nei settori più importanti e delicati per il trattamento dei dati personali.
I controlli
In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.
Il timore dell’inflizione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.
Al fine di approfondire le questioni relative ai suddetti temi, il Comandante Menegazzo sarà tra i protagonisti del DIG.Eat 2019, l’evento sul digitale promosso da ANORC che si terrà il prossimo 30 maggio al Teatro Eliseo di Roma. Le iscrizioni all’evento, a ingresso gratuito previa registrazione obbligatoria, si possono fare online.
