Sono iniziate le sanzioni per chi non si è adeguato al GDPR
È stato definito “periodo di grazia”, è durato fino al 19 maggio 2019 (il Garante della Privacy italiano terrà conto di questa prima fase di attuazione del regolamento europeo sul trattamento dei dati personali) però le sanzioni saranno ugualmente applicate. In base alla natura, gravità e durata dell’illecito commesso e quindi proporzionate alla violazione.
PERCHÈ ADEGUARSI IN FRETTA
Meglio adeguarsi in fretta per due buoni motivi: primo, perché per le imprese il Regolamento europeo è uno strumento fondamentale per dare uno slancio alla propria reputation (il danno reputazionale è il più temuto fra quelli derivanti dalla mancata attuazione del Gdpr). La compliance alle norme sul trattamento dei dati personali, infatti, rappresenta un valore aggiunto da presentare ai propri clienti, e un punto di forza proprio per esaltare la propria flessibilità e professionalità. Secondo, perché il mancato adeguamento – con le conseguenti violazioni – porta a sanzioni amministrative e penali particolarmente invasive.
LE SANZIONI
Per evitare di incorrere nelle sanzioni, non solo devono essere rispettare le norme in materia di protezione dei dati personali ma, in osservanza del principio di accountability, i titolari dovranno dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi. E rendere conto di quanto fatto.
Le sanzioni possono essere amministrative, penali e correttive:
Amministrative
• Fino a 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non comunicano all’Autorità garante il data breach (la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati e conservati), violano le condizioni sul consenso dei minori, trattano in maniera illecita i dati personali degli utenti e non nominano il DPO (Data Protection Officer). Le sanzioni sono “effettive, proporzionate e dissuasive”;
• Fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante;
Penali
• Riguardano il trattamento illecito dei dati, la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante.
Correttive
• Il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. In questa tipologia sanzionatoria ci stanno anche le limitazioni al trattamento (provvisoria o definitiva); la rettifica, la cancellazione o l’aggiornamento dei dati personali; la revoca delle certificazioni; l’ordine di sospendere i flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.
COSA DICONO I DATI
Per meglio inquadrare il fenomeno, sono d’aiuto i dati dell’Information Security & Privacy della School of Management del Politecnico di Milano: in Italia, nel 2018, il 23% delle aziende si è adeguata, il 59% ha avviato progetti in questione e l’88% ha dedicato un budget specifico alle misure definite dal Gdpr. Un’azienda su cinque, invece, «non prevede investimenti dedicati, o stanzia risorse solo in caso di necessità». In ultimo, sempre secondo la ricerca dell’ateneo milanese, nell’82% dei casi la principale vulnerabilità dei sistemi informatici è costituita dalla distrazione e dalla scarsa consapevolezza dei dipendenti.
NON UN COSTO, MA UN INVESTIMENTO
Affidarsi a professionisti seri e preparati è un passo fondamentale, perché la conformità al Gdpr richiede passaggi complessi e aggiornamenti che non possono essere frutto dell’improvvisazione. E’ per questo che le imprese devono attuare fin dall’inizio la tutela dei dati personali: farla a posteriori potrebbe risultare molto più difficile, costosa e si perde in efficacia.
COME FARE
Il nostro Studio ha già provveduto a dotarsi delle migliori professionalità in grado di formulare la corretta strategia per adempiere a quanto richiesto dal GDPR. In modo da fornire a ciascun Cliente la giusta procedura, ritagliandola su misura ed adeguandola secondo le effettive necessità e non, come spesso accade, standardizzando i processi alla versione più complessa e quindi più costosa.
Il nostro personale è a vostra disposizione per ogni ulteriore informazione o chiarimento sul tema.