Tutte le novità introdotte dal decreto di adeguamento al GDPR

664
decreto di adeguamento al GDPR
adv

Finalmente, dopo mesi di attesa, lo scorso 4 settembre sulla Gazzetta Ufficiale è stato pubblicato il decreto legislativo n. 101/2018, il quale adegua il previgente Codice della Privacy alle disposizioni contenute nel GDPR

Il decreto legislativo n.101/2018 entrerà pienamente in vigore il prossimo 19 settembre. Molte voci si sono rincorse, in questi giorni, su una possibile sospensione dell’applicazione delle sanzioni almeno per i successivi 8 mesi.

Nessuna moratoria sulle sanzioni pecuniarie

Analizzando attentamente il dato normativo, ciò che emerge non è una sospensione incondizionata delle sanzioni. Il decreto legislativo n.101/2018, in realtà, prevede che per i prossimi 8 mesi il Garante della protezione dei dati personali debba, in sede di verifica del corretto adempimento degli obblighi, prima di irrogare un’eventuale sanzione, tener conto delle difficoltà riscontrate dalle aziende o dagli imprenditori nell’adeguamento alle disposizioni contenute nel GDPR. Pertanto, non si può parlare di una sospensione delle sanzioni amministrative bensì di una facoltà per il Garante della privacy di optare per un diverso tipo di provvedimento.

Le sanzioni pecuniarie previste dal GDPR

È importante ricordare che il Regolamento europeo n. 679/2016, a seconda del grado di inadempimento, prevede due diversi tipi di sanzioni amministrative. Per le violazioni di lieve gravità il Garante della privacy può applicare una multa fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Per le violazioni più gravi, invece, la sanzione può arrivare fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Quali sono gli altri provvedimenti adottabili dall’Authority

Il GDPR, precisamente all’art. 58, oltre alle predette sanzioni pecuniarie, conferisce all’Autorità di controllo una serie di provvedimenti correttivi. Il Garante può rivolgere avvertimenti, ammonimenti, ingiunzioni; imporre limitazioni provvisorie o definitive al trattamento, incluso il divieto; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali; revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata, qualora non sussistano più i requisiti necessari, nonché ordinare la sospensione dei flussi di dati verso un paese terzo o un’organizzazione internazionale.

Quale scenario dovremmo aspettarci

Come già accennato in precedenza, nessuna vera e propria sospensione delle sanzioni pecuniarie è prevista dal decreto legislativo n. 101/2018. Tuttavia, il Garante dei dati personali, in sede decisionale, dovrà per espressa previsione normativa tener conto delle difficoltà incontrate dalle aziende e dagli imprenditori nell’adeguamento al GDPR ed al contempo analizzare la condotta degli stessi in base ai criteri di valutazione espressamente stabiliti dalla normativa comunitaria (art. 83). Pertanto, è ipotizzabile che per almeno i primi 8 mesi di efficacia del decreto legislativo n.101/2018, nei casi in cui la violazione non sia grave, non sia stata commessa con dolo o colpa e non sia stato arrecato danno all’interessato o comunque il titolare o il responsabile del trattamento abbiano adottato le misure necessarie per attenuare il danno subito dagli interessati, il Garante possa semplicemente adottare uno dei provvedimenti correttivi ai sensi dell’art. 58 del GDPR e non erogare ulteriori sanzioni amministrative. In tutti gli altri casi, invece, il Garante della protezione dei dati personali punirà pecuniariamente ogni violazione degli obblighi imposti dal Regolamento n. 679/2016.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.