RISK MANAGEMENT: Come valutare la sostenibilità aziendale
L’Enterprise Risk Management diviene Sustainable Enterprise Risk Management: il concetto di sostenib[...]
Il nuovo codice della privacy (D.Lgs. 101/2018) entrerà in vigore il prossimo 19 settembre 2018.
Nonostante si sia parlato da più parti di una sospensione delle sanzioni pecuniarie amministrative per i prossimi otto mesi, la lettura dell’art. 22 del richiamato Decreto legislativo fa emergere una realtà del tutto diversa. L’art. 22, infatti, prevede che per i primi otto mesi dalla sua entrata in vigore, il Garante tenga conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 679/2016, della fase di prima applicazione delle disposizioni sanzionatorie. La lettura della norma, dunque, porta a ritenere che non ci sia alcuna moratoria, bensì viene solo previsto che il Garante tenga presente le difficoltà che derivano dall’applicazione delle nuove norme. Il Garante, quindi, in luogo delle sanzioni amministrative, potrà optare, per i primi otto mesi, per l’applicazione delle misure di cui all’art. 58 del Reg. UE, ovvero richiamare, ammonire o ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del Regolamento in una determinata maniera ed entro un determinato termine.
Ciò detto vale nei casi in cui la violazione non sia grave, non vi sia dolo o colpa nella violazione ed il titolare o il responsabile del trattamento abbiano messo in atto le misure necessarie per attenuare il danno subito dagli interessati.
Al contrario, risulta difficile ritenere che le sanzioni non siano elevate quando il titolare o il responsabile non abbiano fatto nulla per adeguarsi al Regolamento UE o, addirittura, non siano nemmeno in regola con le norme di cui al codice privacy prima dell’adeguamento al GDPR.
L’irrogazione delle sanzioni amministrative pecuniarie, comunque, è governata da precisi principi, quali, ad esempio:
- gravità della violazione;
- carattere doloso o colposo della stessa;
- il grado di responsabilità del titolare;
- le categorie di dati personali.
Si ricorda, infine, che chiunque può presentare al Garante un reclamo (qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano state violate) o fare una segnalazione.