Smentita la notizia di un possibile differimento; un provvedimento del Garante non potrebbe incidere sull’entrata in vigore del Regolamento Ue
Con un comunicato pubblicato ieri, il Garante della protezione dei dati personali ha smentito la notizia, circolata su internet, circa un possibile differimento dello svolgimento delle funzioni ispettive e sanzionatorie, sulla base di un suo provvedimento, che, in quanto tale, “non potrebbe incidere sulla data di entrata in vigore del Regolamento europeo”.
In merito, si ricorda che il Regolamento Ue 679/2016 (GDPR), entrato in vigore il 24 maggio 2016, troverà applicazione diretta a decorrere dal 25 maggio 2018 in tutti gli Stati membri.
Tali disposizioni sono destinate a integrare e/o sostituire la normativa di cui ai singoli ordinamenti nazionali. Per quanto riguarda più nello specifico il nostro ordinamento, ad oggi risulta l’approvazione da parte del Consiglio dei Ministri, in esame preliminare, solo di uno schema di DLgs. recante le disposizioni per l’adeguamento della normativa nazionale, che, una volta emanato, sostituirà il vigente Codice della privacy e costituirà, insieme al regolamento europeo, la nuova disciplina in materia di privacy (si veda “Verso l’abrogazione del vigente Codice della privacy” del 22 marzo 2018).
Si fa presente che rientrano nell’ambito dei poteri dell’autorità di controllo (il Garante per la protezione dei dati personali) varie misure “correttive” fra le quali, ad esempio, l’avvertimento al titolare del trattamento (o al responsabile) sulla possibilità che i trattamenti violino il Regolamento e l’ammonimento qualora, invece, venga ravvisata una vera e proprio violazione.
In aggiunta o in luogo di tali misure, viene prevista, rispetto alle circostanze del caso concreto, la possibilità di infliggere sanzioni amministrative pecuniarie, che devono essere “in ogni singolo caso effettive, proporzionate e dissuasive” (artt. 58 par. 2 e 83 par. 1 del Regolamento).
Il Regolamento individua due categorie di sanzioni amministrative, diverse nell’ammontare dell’importo a seconda della natura della violazione in questione (art. 83 par. 4-6).
Nel dettaglio, è prevista la sanzione amministrativa pecuniaria:
– fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ad esempio, nel caso di violazioni in tema di registri delle attività di trattamento e nomina del Responsabile della protezione dei dati personali – artt. 30 e 37 del Regolamento);
– fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ad esempio, nel caso di violazione dei diritti degli interessati – artt. 12–22 del Regolamento). Tale sanzione è prevista anche per l’inosservanza di un ordine dell’autorità di controllo nell’esercizio dei propri poteri correttivi.
Per “impresa”, l’art. 4 n. 18 del Regolamento precisa che si intende “la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica”.