Tre mesi dopo l’entrata in vigore del nuovo regolamento sulla protezione dei dati personali (2016/679), il CNIL (Commission nationale de l’informatique et des libertés), l’autorità francese, pari all’italiano Garante per la Privacy, afferma che le aziende non sembrano essere allineate nell’applicazione della direttiva.

Non solo: a seguito di un’analisi basata sulle disposizioni del GDPR e sulle proprie delibere, il CNIL sottolinea che c’è una generale scarsa coscienza delle imprese sui rischi di non conformità e delle eventuali sanzioni che ne potrebbero derivare. L’organo di vigilanza afferma che in molti credono che non saranno soggetti ad un’ispezione, altri che sarà sufficiente mostrare proattività e collaborazione, altri ancora nutrono la convinzione che una policy sia sufficiente per proteggersi da rischi di violazioni.

Qual è la situazione in Europa

In tutta onestà, le normative nazionali sono arrivate in ritardo. A titolo esemplificativo:

  • il Parlamento del Lussemburgo ha introdotto la direttiva il 26 di luglio;
  • la Spagna ha approvato la normativa nazionale il 27 luglio 2018;
  • in Francia, la normativa è stata adottata appena 2 settimane prima dall’entrata in vigore del GDPR (25 maggio);
  • in Italia, il Garante ha espresso parere favorevole sullo schema di decreto legislativo il 22 maggio; approvato dalle commissioni di Camera e Senato il 20 di giugno, è arrivato al Consiglio dei Ministri l’8 di agosto, appena pubblicato in Gazzetta Ufficiale proprio in questi giorni.

Le autorità di vigilanza e le stesse aziende si trovano, dunque, ad operare in un contesto ibrido, con:

  • il Regolamento europeo effettivamente in forza;
  • gli iter nazionali non del tutto conclusi;
  • i contributi dei gruppi di lavoro dell’Unione Europea ancora in corso, che aggiungono informazioni pratiche ed operative ai principi normativi (come nel caso delle “Linee guida elaborate dal Gruppo Art. 29 in materia di trasparenza”);
  • i contributi delle Authority per l’interpretazione della norma (come la “guida all’applicazione del Regolamento” del Garante). In aggiunta, il Decreto in fase di pubblicazione in Italia, regolando il periodo di transizione, inviterebbe il Garante ad adottare modalità adeguate per consentire alle piccole e medie imprese di dare piena applicazione al GDPR, il che rimanda ad ulteriori contributi successivi.

Nel frattempo, le Autorità di controllo sentono la necessità di tenere alta l’attenzione sulla qualità e tempestività dell’introduzione dei principi regolamentari e si trovano di fronte all’onere di espletare la propria funzione di controllo.

Le attività del Garante in Italia

Pertanto, il Garante per la Protezione dei Dati Personali, Autorità di controllo nazionale, ha pubblicato una deliberazione sulla attività ispettiva pianificata tra luglio e dicembre 2018, che sarà indirizzata:

  1. ad accertamenti su trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;
  2. accertamenti su trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati, al tracciamento degli accessi ed a correlate misure di protezione;
  3. accertamenti su trattamenti di dati personali effettuati da società per attività di telemarketing;
  4. a controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati.

Da notare anche che l’attività del Garante nel primo semestre 2018 ha registrato un incremento delle sanzioni riscosse dall’erario, per un importo di oltre 4 milioni e 500 mila euro (+ 162% rispetto al corrispondente semestre 2017).