GDPR, NESSUN RINVIO PER LE SANZIONI ALLE AZIENDE CHE ENTRANO IN VIGORE DAL 25 MAGGIO

privacyDiversamente da quanto pubblicato su alcuni siti web, il Garante Privacy fa sapere di non “essersi pronunciato su un ipotetico periodo di grazia” durante il quale non sanzionerebbe le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo che entra pienamente in vigore il 25 maggio prossimo. Per cui risulta infondata la notizia circolata online, secondo cui l’Autorità per la protezione dei personali “ha congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del GDPR”. 

L’Authority ha dichiarato che “Non ci siamo pronunciati su un ipotetico periodo di grazia e il provvedimento citato non ha nessun nesso con il tema delle sanzioni”.

Il provvedimento in questione, fonte del malinteso, è quello del 22 febbraio 2018 “che riguarda due adempimenti richiesti dalla legge di Bilancio 2018 e non ha nessun legame con la questione delle sanzioni”, fanno ancora sapere dall’Autorità Garante Privacy.

Dunque dal 25 maggio non cambierà nulla in Italia rispetto a quanto già previsto. Il Regolamento generale in materia di protezione dei dati sarà, pienamente, efficace dal 25 maggio e l’avverbio ‘pienamente’ riguarda quindi anche l’applicazione delle sanzioni perché il regolamento Ue 2016/679, che peraltro è già in vigore dal 24 maggio 2016.

La nota ufficiale del Garante Privacy

 Con riferimento all’articolo Gdpr, il Garante privacy rimanda di sei mesi controlli e sanzioni: che significa per le aziende? E’ necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018.

A quanto ammontano le sanzioni previste dal Gdpr?

Chi non rispetta il regolamento rischia sanzioni fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo.

Il grace period del Garante Privacy francese 

 La fake news, sul congelamento per 6 mesi delle sanzioni da parte del Garante Privacy italiano, nasce dalla scelta dell’omologo francese di preferire il grace period.

Infatti il CNIL, la Data Protection Authority francese, ha annunciato un periodo durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo 2016/679 – GDPR.

Si tratta del primo Stato membro che adotta una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment).

Il comunicato del CNIL – qui consultabile–  identifica nei “primi mesi” la portata del grace period.

L’Autorità francese però pone delle condizioni. I titolari dovranno dimostrare:

  • di avere avviato un processo di GDPR compliance;
  • che il ritardo è accumulato in buona fede;
  • spirito di collaborazione con l’Autorità.

Rimarranno sanzionabili le condotte che violano i principi della normativa privacy nazionali, confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, messa in sicurezza).

Fonte: Privacyitalia.eu