GDPR: le prime sanzioni comminate dai Garanti della privacy europei

Italia, ma anche Francia, Polonia, Germania, Portogallo

Decorso il periodo transitorio c.d. di “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, è tempo delle verifiche e dei controlli (audit, ispezioni, indagini) nonché dell’irrogazione delle prime sanzioni amministrative. Da una prima analisi compiuta fino ai giorni d’oggi, possiamo affermare come le autorità di controllo (Garanti privacy in Europa) stiano tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme a quanto dispone il regolamento stesso, secondo cui le sanzioni devono essere “effettive, proporzionate e dissuasive”. Dalla predetta analisi emerge altresì come tutte le sanzioni finora inflitte presentino un denominatore comune rappresentato dal mancato rispetto dell’Accountability, principio cardine del GDPR.

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali GDPR 679/2016 ha, infatti, determinato un radicale cambiamento nell’approccio adottato nella regolamentazione della materia, introducendo nel sistema legislativo di settore principi prima estranei al nostro ordinamento ed attribuendo, tra questi, un ruolo di preminente centralità e di guida a quello così detto di “responsabilizzazione” del titolare e del responsabile del trattamento. Il termine in lingua inglese utilizzato dal Legislatore europeo per esprimere il concetto di cui si parla è quello di “accountability”, che trova in italiano la traduzione più adatta in“responsabilizzazione”, ma che necessita di un ulteriore sforzo interpretativo perché ne venga colto per intero il più ampio significato. Accountability infatti in inglese esprime un concetto diverso e più esteso della mera responsabilità. Per comprenderne appieno il significato possiamo dire che l’esigenza sottesa al principio di responsabilizzazione mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, devono si agire secondo le migliori prassi ma altresì dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese.

(Fonte: www.altalex.com)