L’art. 22, comma 13, D.Lgs. 101/2018 impone al Garante per la protezione dei dati personali, per i primi otto mesi decorrenti dalla data di entrata in vigore del decreto (19.9.2018), di tener conto ai fini dell’irrogazione delle sanzioni della fase di prima applicazione della normativa.
Non è corretto parlare di moratoria essendo già state irrogate delle sanzioni in questi mesi, ma indubbiamente dal 20.5.2019 ci si attende che il Garante non sia più così benevolo nell’applicazione della norma.
Tale scadenza impone a ciascun operatore non ancora adeguato di valutare con attenzione il proprio livello di compliance al Regolamento UE 2016/679 e al relativo decreto legislativo n. 101/2018.
Si ricorda che le sanzioni amministrative previste per violazioni in materia di trattamento di dati personali sono elevate e possono arrivare fino a 20 milioni di Euro ovvero fino al 4% del fatturato totale annuo dell’esercizio precedente.
Prima dell’irrogazione il Garante avvia un procedimento per l’adozione delle sanzioni notificando al titolare o al responsabile del trattamento le presunte violazioni. Si apre una fase di confronto della durata di 30 giorni, entro questo termine il destinatario del provvedimento può inviare degli scritti difensivi e dei documenti e può richiedere la fissazione di un’audizione sempre innanzi al Garante; questa fase è utile a dimostrare quanto già fatto per adeguare la propria azienda e la strategia di gestione dei dati che può essere sfuggita ad una prima indagine.
Entro 30 giorni (60 se il ricorrente risiede all’estero) dalla comunicazione del provvedimento, può essere proposto ricorso e nel medesimo termine il trasgressore può adeguarsi alle prescrizioni contenute nel provvedimento e definire la controversia versando la metà della sanzione irrogata.
E’ giusto segnalare che sono poi previsti degli illeciti penali connessi al mancato adempimento delle previsioni del d.lgs. 101/2018, sanzionati con la reclusione da sei mesi a sei anni.
In conclusione, il complesso e grave impianto sanzionatorio previsto e il decorso di ogni termine di “tolleranza” impone a chiunque non lo abbia già fatto di adeguarsi al Regolamento UE 2016/679.