x

x

Scaduto il “periodo di tolleranza”: check list GDPR

Check list
Check list

Il 19 maggio scorso è scaduto il “termine di grazia” in forza del quale, per otto mesi dall’entrata in vigore del Decreto Legislativo 101/2018 (atto normativo che ha adeguato la normativa italiana alle disposizioni del GDPR), il Garante per la protezione dei dati personali avrebbe tenuto un approccio soft sull’applicazione delle sanzioni previste per violazioni del GDPR.

Il nuovo regime sanzionatorio, come ormai noto a molti, prevede che il Garante possa irrogare sanzioni a titolari e responsabili del trattamento fino a 20 milioni di euro e, per le sole imprese, fino al 4% del fatturato mondiale annuo.

Il legislatore italiano, con il citato Decreto Legislativo 101/2018, ha previsto che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Nonostante la non facile interpretazione, il significato che è stato attribuito da alcuni a tale disposizione è stato quello secondo cui il Governo avrebbe previsto la sospensione dell’attività sanzionatoria del Garante per i primi otto mesi dall’entrata in vigore del Decreto Legislativo, avvenuta il 19 settembre 2018.

Gli effetti distorti e fuorvianti della bufera mediatica hanno contribuito ad accrescere questa errata e  inverosimile opinione.

Se un fatto del genere fosse stato vero, infatti, avrebbe provocato delle voragini giuridiche, in termini di legittimità degli atti del Governo, e l’annientamento di principi base del diritto, come il rispetto della gerarchia delle fonti. Mentre, il buon senso – anche per i non addetti ai lavori – avrebbe dovuto portare a non dare credito ad una tale ipotesi per il solo fatto che il GDPR – e il relativo regime sanzionatorio – era già applicabile dal 25 maggio 2018 ovvero quasi quattro mesi prima dell’entrata in vigore del Decreto 101/2018.

Per assurdo, se fosse stata vera e legittima l’interpretazione a favore della sospensione delle sanzioni, il Garante avrebbe “dovuto” applicare le sanzioni durante il primo quadrimestre di applicazione del GDPR, a partire dal 25 maggio 2018, per poi sospenderne l’applicazione per otto mesi dopo l’entrata in vigore del Decreto Legislativo del Governo. Forse un vantaggio per alcuni, ma una catastrofe per il principio di “certezza del diritto”.

Fatta questa doverosa premessa, il termine di otto mesi indicato nel Decreto Legislativo sembra essersi riferito soltanto ad un (auspicabile) esercizio “moderato” dei poteri attribuiti dal GDPR al Garante.

È previsto infatti che il Garante effettui una valutazione caso per caso delle circostanze concrete,  all’esito della quale potrà decidere di emanare il provvedimento ritenuto più opportuno, sulla base di parametri e criteri valutativi forniti dallo stesso GDPR. In questo modo, il Garante, tenuto conto dei citati criteri e parametri, potrebbe ritenere opportuno rivolgere al contravventore un ammonimento o la prescrizione di misure specifiche da adottare anziché l’emanazione di una sanzione pecuniaria.

Ciò detto, la scadenza del termine di otto mesi – nonostante i dubbi interpretativi esposti – può, in ogni caso, trasformarsi in un’ottima occasione per titolari e responsabili del trattamento per effettuare un check up sull’adeguamento ai principali adempimenti previsti dal GDPR.

In particolare, la check list comprende:

Adempimento:

Riferimento normativo:

nomina dei DPO, nei casi di obbligatorietà e comunicazione dei dati al Garante

Articoli 37, 38 e 39 GDPR

aggiornamento delle informative, diversificate per categorie di interessati e con specificazione della base giuridica del trattamento

Articoli 12, 13 e 14  GDPR

verifica di conformità dei consensi raccolti prima del 25 maggio 2018 e predisposizione di nuovi moduli di raccolta per trattamenti successivi, con particolare riguardo al consenso dei minori

Articoli 7 e 8 GDPR e 2-quinquies D.lgs. 196/2003

tenuta e aggiornamento del Registro dei trattamenti

Articolo 30 GDPR

nomina formale dei responsabili del trattamento, mediante contratto o altro atto giuridico che regoli i rapporti con il titolare e gli eventuali sub-responsabili

Articolo 28 GDPR e 2-quaterdecies  del D.lgs. 196/2003

verifica sull’eventuale contitolarità del trattamento tra più titolari

Articolo 26 GDPR

effettuazione di una valutazione di impatto nei casi di obbligatorietà e tracciabilità delle attività svolte, della mappature dei rischi e delle misure adottate

Articoli 35 e 36 GDPR

regolarizzazione dei trasferimenti dei dati extra UE mediante le condizioni di legittimità previste dal GDPR

Articoli 44, 45, 46, 47 e 49 GDPR

piano per la gestione tempestiva dei data breach e dell’eventuale notificazione al Garante e/o comunicazione agli interessati

Articoli 32, 33 e 34 GDPR

piano per il riscontro tempestivo agli interessati in caso di esercizio dei diritti a loro spettanti (ad esempio, diritto all’oblio)

Articoli 15, 16, 17, 18, 19, 20, 21 e 22 GDPR

 

Si precisa che la tabella è soltanto indicativa dei principali macro-adempimenti che titolari e responsabili del trattamento avrebbero già dovuto attuare prima del 25 maggio 2018, fermo restando che ogni realtà ha le proprie peculiarità e esigenze, pertanto, l’analisi sulla necessità o meno di adempiere a determinati obblighi deve essere effettuata caso per caso, eventualmente anche con l’assistenza di un esperto. 

Il nostro consiglio è quello di concentrarsi sulle attività formative, perché è solo grazie a consapevolezza e sensibilità al tema che si potrà ottenere l’efficace attuazione di adempimenti e misure e, soprattutto, fare in modo che essi siano “sentiti” e recepiti da coloro che principalmente li devono porre in essere.