Periodo transitorio di otto mesi per l’applicazione delle sanzioni del GDPR: a prevederlo è il decreto di adeguamento approvato dal Consiglio dei Ministri dell’8 agosto 2018.
Approccio soft al GDPR per le imprese e la Pubblica Amministrazione: il decreto di adeguamento al nuovo Regolamento UE stabilisce un periodo transitorio di 8 mesi.
Le PMI dovrebbero essere salve dalle ispezioni della Guardia di Finanza e dalle salate sanzioni applicate dal Garante in caso di violazioni e di mancato adeguamento al GDPR.
È questa una delle novità contenute nel testo del decreto approvato dal Consiglio dei Ministri dell’8 agosto 2018 che, dopo quasi due mesi dall’entrata in vigore della riforma della privacy, trova l’ok definitivo del Governo.
La notizia è riportata da molte fonti di stampa ma è bene chiarire che il testo del decreto non è ancora stato pubblicato e che, come sempre, sarà necessario attendere la pubblicazione in Gazzetta Ufficiale per poterne dare conferma ufficiale.
GDPR, sanzioni e ispezioni in stand-by. Decreto di adeguamento con periodo transitorio
L’adeguamento al GDPR è stato tutt’altro che semplice per le tante imprese e professionisti tenute e fare i conti con il nuovo regolamento europeo sulla privacy.
Operativo dal 25 maggio 2018, per la piena attuazione del Regolamento UE 2016/679 mancava proprio il decreto di adeguamento con il quale l’Italia era tenuta ad uniformare le proprie regole e la propria normativa a quelle comunitarie.
Il decreto attuativo si è fatto attendere circa due mesi ma la notizia positiva per le imprese è che il testo approvato dal Consiglio dei Ministri l’8 agosto 2018 darà di fatto più tempo per mettersi in regola.
Il periodo transitorio di otto mesi salverà dalle ispezioni della Guardia di Finanza e, soprattutto, dalle sanzioni previste dal GDPR che, ricordiamo, saranno ispirate ai principi di proporzionalità ed effettività e calcolate secondo due diversi parametri:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Inoltre, il decreto di adeguamento approvato dal Consiglio dei Ministri demanda al Garante la possibilità di stabilire specifiche esenzioni per le PMI, con misure di semplificazione per i titolari del trattamento dei dati.
Privacy, ecco come saranno i controlli della Guardia di Finanza
Una volta trascorso il periodo transitorio di otto mesi, prenderanno il via i controlli e le ispezioni della Guardia di Finanza. A spiegare come si svolgeranno era stato il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo.
Durante il Privacy Day Forum tenutosi proprio il 25 maggio, era stato chiarito che nonostante le difficoltà dovute alla mancata approvazione della decreto di adeguamento, i controlli sarebbero partiti da subito.
Vi sono alcuni adempimenti obbligatori che il GDPR prevede che ciascuna impresa o professionista effettui entro il 25 maggio 2018 e sono proprio questi i punti sui quali si soffermerà la Guardia di Finanza.
Si tratta dell’obbliga di nomina del DPO, così come i controlli sulle misure previste dall’azienda nel caso di data breach ovvero sulla tenuta del registro dei trattamenti, che per le Fiamme Gialle sarà la base per l’avvio di qualsiasi attività ispettiva.
L’attività ispettiva della Guardia di Finanza sul rispetto delle novità privacy avrà importanza fondamentale nel consentire al Garante di stabilire la misura delle sanzioni, ove previste.
L’importo della multa sarà determinato in base agli elementi raccolti durante le ispezioni, sulla base dei principi di effettività, proporzionalità e dissuasività.
Il tutto, però, una volta trascorso il periodo transitorio di otto mesi che, a scanso di cambi di rotta, troverà posto nel testo del decreto attuativo del GDPR.
Decreto di adeguamento GDPR, non sarà abrogato il Codice della Privacy
Per semplificare la procedura di adeguamento delle leggi italiane al GDPR il Codice della Privacy non sarà abrogato come precedentemente previsto ma modificato e integrato con le novità introdotte, tra le quali il principio di accountability.
Inoltre, il Consiglio dei Ministri ha scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.
Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
A fronte delle importanti novità introdotte, a questo punto non si può che sperare che il testo del decreto di adeguamento venga pubblicato presto in Gazzetta Ufficiale.