Il Garante chiama l’Italia e quest’ultima non risponde.
O per lo meno, il silenzio con cui il paese delle imprese italiane ha risposto alle nuove disposizioni sulle norme GDPR, annichilisce e in parte indispone il garante.
Quest’ultimo, dopo aver rispettato il periodo di “comprensione” di ben un anno, ora avrà tutta la paternità per partire con i controlli a tappeto.
Difatti, il Maggio dello scorso hanno aveva visto il via all’applicazione delle nuove norme GDPR in merito alla sicurezza informatica e alle regolamentazioni per la legge alla privacy.
Eppure, dopo un iniziale periodo di panico, le aziende italiane avevano reagito con il solito lassismo, sottolineando una assoluta mancanza di adempimento ai controlli e alle norme.
Il Garante, consapevole dell’impatto strutturale ed economico di tali adempimenti in ambito informatico, aveva quindi tenuto conto di un periodo di “comprensiva attesa”, prima di procedere con i controlli e le sanzioni.
“ Per i primi otto mesi dalla data di entrata in vigore del decreto 101/2018, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti cui risulti compatibile con le disposizioni del Regolamento (Ue) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie “.
Dicitura convenzionale che possiamo tradurre esplicitamente in:
“Visto che le cose da fare sono diverse e difficili, risulta necessario prendersi il giusto tempo e quindi andarci piano con le sanzioni”.
Gli otto mesi sono diventati un anno. Ormai non si può più aspettare. Ciò farebbe pensare che molte aziende abbiano provveduto a munirsi dei dovuti controlli e delle necessarie certificazioni GDPR, richieste per regolamentare le proprie strutture. Niente di più sbagliato.
Ancora molte e forse troppe sono le aziende che non si sono preoccupate di adempiere a tale legge, indispensabile per la normalizzazione richiesta dalla nuova Digital Transformation.
Le ispezioni sono quindi già partite, con un numero di 100 ispezioni già in programma in agenda per il Garante della privacy.
Quali sono le prime realtà prese di mira dal garante per la norma GDPR?
Ovviamente strutture ospedaliere, ambulatori, banche e istituzioni finanziarie.
Quindi, lente di ingrandimento su tutte le realtà che trattano dati sanitari e/o dati sensibili della persona e della statistica nazionale.
Dati legati ai flussi di condivisione dati anagrafici, conti correnti, trattamento dei dati presso istituzioni quali Asl, conto terzi o Ambulatori di ricerca.
Ovviamente, nel mirino anche i gestori di microdati Istat, istituti per la gestione di identità digitali e sistemi di gestione e creazione di carte di fidelizzazione.
Quali controlli prevedono le sanzioni GDPR
Il garante e la Guardia di Finanza sono già all’opera. La funzione generale è di adempiere ai controlli retroattivi sul vecchio ordinamento. Tutto ciò che è sanzionabile sarà sanzionato.
Il valore delle sanzioni e multe del Garante Privacy
Non è chiaro quale sia il “listino delle multe”. Di certo sono note le prime vittime di quelle che sono sanzioni ingenti, utili a delineare l’impatto e la serietà del Garante e della Guardia di Finanza, nel processo di controllo.
In un articolo pubblicato da Altalex, il più importante quotidiano giuridico italiano, vengono riportati alcune cifre e nomi protagonisti del primo periodo di “tolleranza zero”.
Garante Francese: multa di 50.000.000 di euro a Google
Garante Austriaco: multa di 4.000 euro ad una società che male usava la videosorveglianza
Garante Tedesco: multa di 20.000 euro ad un sito di chat per data breach
Garante Portoghese: multa di 300.000 euro ad un studio medico per accesso ai dati al personale senza autorizzazione
Garante Portoghese: multa di 400.000 euro ad azienda ospedaliera
Garante Polacco: multa di 220.000 euro per divulgazione indirizzo e-mail
Garante Italiano: multa di 50.000 euro piattaforma Rousseau
Garante italiano: multa di 16.000 euro ad un medico per uso non autorizzato dei dati.
Si può subito notare come nessuno sia al sicuro. Cifre che ovviamente non incidono nel bilancio di un colosso come Google ma che sottolineano come il Garante sia intenzionato a non fare alcun favoritismo, nemmeno dinnanzi a nomi altisonanti.
Le cifre sono importanti e le multe possono anche piegare le ginocchia di realtà che lottano ogni giorni per restare in piedi.
Non si vuole fare allarmismo e nemmeno terrorismo. Una cosa è certa; il tempo dei permessi è finito. Con le norme GDPR si fa sul serio e nessuno può permettersi di prendere sotto gamba l'importanza della regolamentazione.