22 Giu

Il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa. Dunque aziende, privati e professionisti che svolgono attività commerciali e professionali, devono rispettare gli adempimenti previsti dal GDPR.

Ad eccezione di alcune differenze (per esempio la nomina del DPO) le regole stabilite dal GDPR sono applicabili a tutte le aziende e indipendentemente dalla loro dimensione. Le piccole realtà sono obbligate ad osservare gli stessi adempimenti delle grandi multinazionali. È comunque doveroso dire che chi era conforme alla vecchia normativa italiana (Decreto legislativo 196/2003 “Codice privacy”) le attività da fare in più sono veramente molto limitate.

Le sanzioni previste dal GDPR possono arrivare sino ad un massimo di 20 milioni di euro o al 4% del fatturato annuale (se superiore).

Sino ad oggi ci si è trincerati sulla convinzione che non essendoci adeguati controlli, il rischio di essere sanzionati è pressoché inesistente. Forse sarà così, oppure potrebbe accadere che un ex dipendente o un concorrente possa innescare un procedimento. Sull’entità delle sanzioni posso dare un’altra informazione che credo sia più vicina alla realtà della piccola/media impresa: in Olanda il Garante per la privacy ha pubblicato un “listino prezzi” delle sanzioni e ha previsto nel caso di mancata nomina del Responsabile del trattamento (uno degli adempimenti previsti dal GDPR), la sanzione di 300 mila euro.

La fase di “tolleranza” prevista dall’articolo 22 del Decreto legislativo 10 agosto 2018, n. 101 è terminata il 19 maggio 2019; oggi le aziende dovranno essere pronte ad adempiere alle disposizioni del GDPR e superare i controlli o ispezioni dell’Autorità garante che potranno essere eseguiti con l’ausilio dei nuclei specializzati della Guardia di Finanza.

Ogni imprenditore deve assumere le proprie decisioni con consapevolezza, credo e spero che quanto sopra riesca a contribuire a ciò.

Condividi