Sanzioni GDPR – 19 Maggio 2019, fine del periodo di “tolleranza” ?

L’art. 22, comma 13, D.Lgs. 101/2018 impone al Garante per la protezione dei dati personali, per i primi otto mesi decorrenti dalla data di entrata in vigore del decreto (19.9.2018), di tener conto ai fini dell’irrogazione delle sanzioni della fase di prima applicazione della normativa.

Non è corretto parlare di moratoria essendo già state irrogate delle sanzioni in questi mesi, ma indubbiamente dal 20.5.2019 ci si attende che il Garante non sia più così benevolo nell’applicazione della norma.

Tale scadenza impone a ciascun operatore non ancora adeguato di valutare con attenzione il proprio livello di compliance al Regolamento UE 2016/679 e al relativo decreto legislativo n. 101/2018.

Si ricorda che le sanzioni amministrative previste per violazioni in materia di trattamento di dati personali sono elevate e possono arrivare fino a 20 milioni di Euro ovvero fino al 4% del fatturato totale annuo dell’esercizio precedente.

Prima dell’irrogazione il Garante avvia un procedimento per l’adozione delle sanzioni notificando al titolare o al responsabile del trattamento le presunte violazioni. Si apre una fase di confronto della durata di 30 giorni, entro questo termine il destinatario del provvedimento può inviare degli scritti difensivi e dei documenti e può richiedere la fissazione di un’audizione sempre innanzi al Garante; questa fase è utile a dimostrare quanto già fatto per adeguare la propria azienda e la strategia di gestione dei dati che può essere sfuggita ad una prima indagine.

Entro 30 giorni (60 se il ricorrente risiede all’estero) dalla comunicazione del provvedimento, può essere proposto ricorso e nel medesimo termine il trasgressore può adeguarsi alle prescrizioni contenute nel provvedimento e definire la controversia versando la metà della sanzione irrogata.

E’ giusto segnalare che sono poi previsti degli illeciti penali connessi al mancato adempimento delle previsioni del d.lgs. 101/2018, sanzionati con la reclusione da sei mesi a sei anni.

In conclusione, il complesso e grave impianto sanzionatorio previsto e il decorso di ogni termine di “tolleranza” impone a chiunque non lo abbia già fatto di adeguarsi al Regolamento UE 2016/679.

 

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.