GDPR: scattano i controlli per far rispettare il nuovo Regolamento Privacy

Con una tempistica non proprio celere, il 4 settembre è stato finalmente pubblicato nella Gazzetta Ufficiale n. 205 il Decreto Legislativo n.101 del 10 agosto 2018, contenente le disposizioni per l’adeguamento della normativa nazionale italiana ai principi del Regolamento europeo n. 679 del 2016.

Lo scopo dichiarato del Decreto appena pubblicato è quello di armonizzare le norme italiane contenute nel Codice in materia di protezione dei dati personali (Decreto Legislativo 196/2003) con quelle introdotte dal Regolamento Europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, vigente dallo scorso 25 maggio.

Sarebbe stato auspicabile certamente che il Decreto italiano entrasse in vigore contestualmente all’entrata in vigore della normativa europea, in quanto ciò avrebbe evitato la sovrapposizione tra le due norme e il conseguente insorgere di quesiti e dubbi.

La questione si è ulteriormente complicata, nei mesi seguenti a maggio, quando, con una newsletter pubblicata il 31 luglio scorso, il Garante per la protezione dei dati personali ha approvato il nuovo piano ispettivo per gli ultimi sei mesi del 2018.

Dopo mesi di rumors sul contenuto del Decreto Legislativo, di critiche sulle prime bozze da parte del Garante Europeo per la protezione dei dati dott. Giovanni Buttarelli, nonché, come detto, della enunciazione delle regole attuative da parte del Garante, ecco finalmente la norma italiana a dipanare i dubbi.

Come aneddoto, rispetto alle misure di garanzia stabilite nel Decreto, il Garante Europeo ha osservato quanto segue circa l’art. 2-duodecies (Diritti riguardanti le persone decedute) [nel D.lgs 101/2018 art. 2-terdecies], ritenendo il Garante Europeo che questa disposizione presenti “una formulazione fragorosamente umoristica, non degna di essere inserita in un decreto legislativo quantomeno nella sua attuale stesura. Mi riferisco con sarcasmo al riferimento alla possibilità di modificare la volontà delle persone decedute, o a quella di esercitarne i diritti”.

Il testo del Decreto 101/2018 pubblicato in Gazzetta Ufficiale è quello stabilito dal Consiglio dei Ministri in data 8 agosto 2018. Nel corso dell’ultimo mese, molte e differenti sono state le ipotesi sul suo contenuto definitivo, alcune imprecise, altre decisamente fantasiose.

Uno di questi rumors era riferito alla circostanza, rivelatasi totalmente priva di fondamento, secondo la quale nel decreto si sarebbe prevista la sospensione, fino alla fine di aprile 2019, dell’attività del Garante e, più precisamente, del suo potere ispettivo; si sosteneva cioè che fino alla fine dell’aprile 2019 non ci sarebbero stati controlli da parte del Garante, attuando una sorta di moratoria.

Dal testo appena pubblicato, in realtà, si evince tutt’altro.

All’art. 22, comma 13 del D.lgs. 101/2018 si legge: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Ciò sembrerebbe significare che il Garante, per i primi otto mesi (e non oltre!) sarà più “clemente” nell’erogare le sanzioni, operando una valutazione di tanti fattori, come peraltro era stato già indicato nelle Linee guida del Comitato europeo (ex WP29) del 3 ottobre 2017.

È stata confermata, inoltre, per le sanzioni derivanti da comportamenti illeciti compiuti prima del 25 maggio 2018, la possibilità che le stesse, a richiesta dell’interessato, possano essere ridotte a 2/5 del minimo edittale stabilito dal D.Lgs. 196/2003.

L’intento del Legislatore è certamente quello di ridurre o abbattere completamente il contenzioso in essere relativo a sanzioni comminate prima dell’entrata in vigore del Regolamento europeo.

Dalla lettura congiunta del Decreto e della Nota del Garante si evince che le ispezioni, svolte congiuntamente con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza, riguarderanno, negli ultimi sei mesi dell’anno, i grandi database, le banche e i servizi di telemarketing.

Nello specifico, secondo quanto descritto nel comunicato, al centro delle verifiche dell’Autorità ci saranno “i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni, le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach), i trattamenti di dati per attività di telemarketing”. I controlli degli ispettori si concentreranno principalmente “sul rispetto degli obblighi di informativa, sull’acquisizione del consenso nei casi previsti, sul periodo di conservazione dei dati e sulle misure di sicurezza per la loro protezione, e terranno conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d’impatto e di designazione del Responsabile della protezione dei dati”. Il piano ispettivo comprende inoltre le istruttorie avviate sulla base di segnalazioni o reclami presentati dai cittadini, con particolare attenzione alle violazioni più gravi.

Il Decreto 101, in applicazione del principio penalistico del favor rei, ha sostituito le sanzioni penali previste dal Codice privacy con le sanzioni amministrative previste dal Regolamento europeo, anche riguardo a violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso e sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

Da ultimo, si segnala che il Garante della privacy ha riportato un importante incremento delle sanzioni riscosse dall’erario per quanto riguarda il primo semestre del 2018 (+162% rispetto al corrispondente semestre 2017). La cifra riscossa, pari ad oltre 4,5 milioni di euro, proviene prevalentemente da multe a carico di grandi gestori telefonici.

Marcella Coccanari
About Marcella Coccanari 43 Articles
L’avv. Marcella Coccanari è la fondatrice e CEO dello Studio Legale e Tributario Coccanari & Partners. Lo Studio è specializzato nell'assistenza alle imprese ed è caratterizzato da una visione ed un’esperienza multidisciplinare ed internazionale. Nasce con il sogno e la mission di assistere aziende di eccellenza, italiane ed estere, a raggiungere i loro obiettivi di espansione, sicurezza e prosperità nei vari mercati internazionali. Questo viene costantemente realizzato con servizi di alta qualità e personalizzati per ogni cliente. Lo Studio ha sede a Roma e Milano, con desk geografici a Londra, Miami e Shanghai e si avvale di un network di corrispondenti locali nei principali mercati del mondo.

Be the first to comment

Leave a Reply

Your email address will not be published.


*