Come noto, il rispetto dei suoi principi basilari – nel caso francese come in quello italiano – non costituisce una novità assoluta per le imprese. D’altro canto il rafforzamento delle garanzie richieste per la protezione dei dati personali richiede un diverso approccio basato sulla logica della conformità continuativa durante tutto il ciclo di vita dei dati trattati. CNIL sottolinea come, a fronte della diminuzione delle formalità attualmente a carico delle imprese, vi sia un sostanziale rafforzamento del potere sanzionatorio assegnato alle singole Autorità Garanti degli Stati membri.
Nell’uniformità dei principi contenuti nel testo normativo , si lascia invece ai singoli Stati membri il compito di disciplinare le regole e l’effettiva applicazione delle sanzioni amministrative previste. Su tale parziale libertà di azione sono molti gli interrogativi delle imprese che stanno lavorando su un piano di adeguamento al GDPR.
CNIL ha deciso di specificare le proprie modalità di azione non solo nel periodo transitorio tra l’attuale legge e il nuovo regime applicabile, ma anche nel mese immediatamente successivo.
In generale, i poteri di controllo dell’Autorità rimarranno invariati. Continuerà a condurre verifiche all’interno delle organizzazioni, online, tramite audit e scambio di documentazione. Anche le procedure di rilascio dei controlli non cambieranno e si baseranno ancora sul programma annuale oppure su stimolo proveniente da reclami ricevuti o anche su informazioni contenute nei media o su azioni di monitoraggio a seguito di un precedente controllo.
Dato il significativo rafforzamento della quantità di sanzioni , cosa aspettarsi nei primi mesi di attuazione del GDPR in termini di politiche di verifica? La risposta arriva da un recente comunicato dell’Autorità stessa che parla di una distinzione tra due tipologie di obblighi imposti ai professionisti.
La prima riguarda tutti gli obblighi richiamati dai principi fondamentali della protezione dei dati (correttezza del trattamento, pertinenza dei dati, periodo di conservazione, sicurezza dei dati, ecc.) che continueranno a essere oggetto di rigorosa verifica da parte del CNIL.
Al contrario, per quelli che possono considerarsi nuovi obblighi o nuovi diritti garantiti dal GDPR (diritto alla portabilità dei dati, analisi d’impatto ovvero DPIA, ecc.), i controlli avranno come scopo principale quello di sostenere le imprese verso la corretta comprensione e attuazione operativa dei testi normativi.
Quindi, qualora i titolari del trattamento siano in grado di dimostrare al CNIL di aver intrapreso un percorso di conformità adeguato e in buona fede, nonché la reale volontà di cooperare con l’Autorità stessa, i controlli effettuati nel primo mese non saranno normalmente destinati a provocare irrogazione di sanzioni a norma di GDPR sui punti sopra descritti.
La notizia è importante perché si tratta della prima Autorità nazionale garante per la tutela dei dati personali che decide di esprimersi chiaramente su come vorrà far valere il potere sanzionatorio rispetto agli obblighi del Regolamento Europeo dal 25 maggio 2018.
Ora c’è da chiedersi: se l’obiettivo del Regolamento europeo è superare la frammentarietà delle normative sul tema privacy, possibile che l’iniziativa dell’Autorità Francese rimanga isolata? In sostanza: le aziende francesi potrebbero essere le sole europee a “subire” questo approccio costruttivo dell’Autorità che addirittura dichiara di lasciare loro più tempo prima di sanzionare? Sarebbe interessante conoscere la posizione dell’Autorità di Controllo italiana ma anche delle altre Autorità europee che potrebbero trarre ispirazione da una simile iniziativa. Sicuramente questa posizione del CNIL evidenzia quanto già in passato la stessa Autorità aveva dimostrato: la volontà di coadiuvare i titolari del trattamento nell’applicazione normativa e di non attenderli al varco in caso di errore.
Confidiamo che altre Autorità se non lo stesso Board europeo una volta costituito, prendano esempio… aspettiamo… fiduciosi…
Avv. Valentina Frediani
Founder e CEO Colin & Partners