GDPR: sanzioni in arrivo. Cosa cambia per le imprese (grandi e piccole) con la fine del periodo di tolleranza?

Lo scorso 19 maggio è ufficialmente terminato il periodo di tolleranza sul GDPR  (Regolamento Europeo in materia di protezione dati sensibili).

Fino a quella data il Garante non è rimasto con le mani in mano, ma ha semplicemente preferito adottare un approccio più educativo che sanzionatorio: ai trasgressori ha rivolto ammonimenti o prescritto misure specifiche per risolvere atteggiamenti problematici. D’ora in avanti però le cose cambieranno, e non ci saranno sconti sulle sanzioni pecuniarie per le aziende di ogni dimensione, gli artigiani e i liberi professionisti che non saranno in regola con il GDPR.

Contenuti dell'articolo

  1. Cosa cambia con la fine del periodo di tolleranza?
  2. Il GDPR per artigiani, piccole imprese e liberi professionisti
  3. I nostri consigli

Cosa cambia con la fine del periodo di tolleranza?

Le regole non cambiano, ma aumentano i controlli. Si farà molto più concreta la possibilità di incorrere in sanzioni per quei titolari che ancora non hanno adeguato la loro impresa al Regolamento

I controlli e le ispezioni saranno effettuati dal Garante per la Protezione dei Dati Personali, che per svolgere al meglio la funzione di organo di controllo ha richiesto ed ottenuto il supporto della Guardia di Finanza.

Il Garante ha più volte dichiarato che non sarà possibile applicare le sanzioni alla stessa maniera per tutti i casi di inadempienza che si verificheranno e che ogni caso andrà valutato singolarmente all’interno del suo contesto. Nonostante questa precisazione è bene però ricordare ancora una volta che le sanzioni economiche previste sono piuttosto salate; queste possono arrivare ad un massimo del 4% del fatturato annuo a seconda della gravità dell’infrazione.

Va ricordato inoltre che le sanzioni per le imprese che violeranno il GDPR potrebbero non fermarsi al solo aspetto economico. Il Garante potrebbe decidere di limitare, sospendere oppure bloccare i trattamenti dei dati se non addirittura imporre l’aggiornamento, la rettifica o la cancellazione dei dati personali raccolti dall’impresa inadempiente, incidendo notevolmente sulle attività ordinarie dei trasgressori.

A tutto questo bisogna aggiungere il pessimo impatto in termini di reputazione che colpisce chi viene sanzionato per inadempienza, e di riflesso anche l’andamento del business

Il GDPR per artigiani, piccole imprese e liberi professionisti

Come la quasi totalità delle imprese esistenti anche artigiani, liberi professionisti e piccole imprese trattano dati personali e per questo motivo devono sicuramente adeguarsi al GDPR. Fortunatamente l’iter di aggiornamento della privacy è ben diverso ed estremamente semplificato rispetto a quello che devono affrontare le grandi multinazionali. Innanzitutto è probabile che in questi casi non sia necessario nominare un DPO (obbligatorio solo per pubblica amministrazione, imprese pubbliche e aziende che trattano dati sensibili su larga scala oppure che trattano dati relativi alla salute, all’orientamento sessuale ed alla vita giudiziaria delle persone). Un consulente potrà dirvi con facilità se la vostra impresa sia tenuta o meno a questa nomina, una verifica molto importante alla luce di uno dei concetti fondamentali introdotti dal Regolamento: l’accountability.

Questa parola è di difficile traduzione ma il suo senso può essere reso come un mix di: “responsabilità”, “assicurazione”, “affidabilità”, “attendibilità” e “obbligo di rendere conto”.

Secondo questo principio, che un titolare compia determinate azioni per adeguare la sua impresa al GDPR è solo una faccia della medaglia; l’altra è la capacità di rendere conto delle decisioni prese e dei comportamenti messi in atto.

Per esempio, è altamente probabile che un panettiere non abbia bisogno di nominare un DPO ma qualora dovesse essere oggetto di controllo da parte del Garante, dovrà essere in grado di rendere conto della sua decisione di non nominarlo in modo che questa non sia vista come una violazione del Regolamento ma ma come una sua corretta applicazione. 

I nostri consigli per artigiani, piccole imprese e liberi professionisti

Qual’è dunque il modo migliore per affrontare una possibile verifica da parte del Garante? Mettersi  nella posizione di chi ha fatto tutto il possibile per evitare o prevenire una determinata situazione. Questo atteggiamento deve essere alla base del processo di costruzione di una privacy policy che rispetti i criteri del GDPR; ecco quindi una serie di suggerimenti che ogni legale rappresentante dovrebbe seguire:

  • Definisci bene che tipo di dati personali tratta la tua impresa;
  • Rintraccia in quali passaggi i dati trattati potrebbero essere a rischio in ottica GDPR. Ad esempio:
    • I dati sono archiviati su dispositivi criptati?
    • I dati sensibili in formato cartaceo sono custoditi in un luogo sicuro ed accessibile solo al titolare?
    • I dati sono comunicati a terze parti in modo sicuro?
  •  Rendi sicure le modalità di archiviazione di dati digitali e cartacei (se non lo sono già);
  •  Valuta la nomina di un DPO e stabilisci una procedura da eseguire in caso di data breach;
  •  Prepara la documentazione necessaria:
    • Il registro delle attività di trattamento da conservare in sede;
    • Le informative (da inviare a clienti, fornitori e dipendenti)
    • Le lettere di nomina per le figure responsabili del trattamento dei dati.
  • Aggiorna periodicamente la documentazione della propria impresa.

Cerchi altre informazioni sul servizio 123Privacy o sul GDPR?

Contattaci!

123privacy@sigesint.it

0382-926195

Chiudi il menu
Chiama Ora