GDPR: passaggio soft per le aziende francesi

27/03/2018
di Valentina Frediani

Il Commission Nationale de l’Informatique et des Libertés sta accompagnando a livello pratico le aziende che dovranno, entro maggio, garantire la piena applicabilità del Regolamento GDPR.

Come noto, il rispetto dei suoi principi basilari – nel caso francese come in quello italiano – non costituisce una novità assoluta per le imprese. D’altro canto il rafforzamento delle garanzie richieste per la protezione dei dati personali richiede un diverso approccio basato sulla logica della conformità continuativa durante tutto il ciclo di vita dei dati trattati. CNIL sottolinea come, a fronte della diminuzione delle formalità attualmente a carico delle imprese, vi sia un sostanziale rafforzamento del potere sanzionatorio assegnato alle singole Autorità Garanti degli Stati membri.

Nell’uniformità dei principi contenuti nel testo normativo, si lascia invece ai singoli Stati membri il compito di disciplinare le regole e l’effettiva applicazione delle sanzioni amministrative previste. Su tale parziale libertà di azione sono molti gli interrogativi delle imprese che stanno lavorando su un piano di adeguamento al GDPR.

CNIL ha deciso di specificare le proprie modalità di azione non solo nel periodo transitorio tra l’attuale legge e il nuovo regime applicabile, ma anche nel mese immediatamente successivo.

GDPRIn generale, i poteri di controllo dell’Autorità rimarranno invariati. Continuerà a condurre verifiche all’interno delle organizzazioni, online, tramite audit e scambio di documentazione. Anche le procedure di rilascio dei controlli non cambieranno e si baseranno ancora sul programma annuale oppure su stimolo proveniente da reclami ricevuti o anche su informazioni contenute nei media o su azioni di monitoraggio a seguito di un precedente controllo.

Dato il significativo rafforzamento della quantità di sanzioni, cosa aspettarsi nei primi mesi di attuazione del GDPR in termini di politiche di verifica? La risposta arriva da un recente comunicato dell’Autorità stessa che parla di una distinzione tra due tipologie di obblighi imposti ai professionisti.

La prima riguarda tutti gli obblighi richiamati dai principi fondamentali della protezione dei dati (correttezza del trattamento, pertinenza dei dati, periodo di conservazione, sicurezza dei dati, ecc.) che continueranno a essere oggetto di rigorosa verifica da parte del CNIL.
Al contrario, per quelli che possono considerarsi nuovi obblighi o nuovi diritti garantiti dal GDPR (diritto alla portabilità dei dati, analisi d’impatto ovvero DPIA, ecc.), i controlli avranno come scopo principale quello di sostenere le imprese verso la corretta comprensione e attuazione operativa dei testi normativi.

Quindi, qualora i titolari del trattamento siano in grado di dimostrare al CNIL di aver intrapreso un percorso di conformità adeguato e in buona fede, nonché la reale volontà di cooperare con l’Autorità stessa, i controlli effettuati nel primo mese non saranno normalmente destinati a provocare irrogazione di sanzioni a norma di GDPR sui punti sopra descritti.

La notizia è importante perché si tratta della prima Autorità nazionale garante per la tutela dei dati personali che decide di esprimersi chiaramente su come vorrà far valere il potere sanzionatorio rispetto agli obblighi del Regolamento Europeo dal 25 maggio 2018.
Ora c’è da chiedersi: se l’obiettivo del Regolamento europeo è superare la frammentarietà delle normative sul tema privacy, possibile che l’iniziativa dell’Autorità Francese rimanga isolata? In sostanza: le aziende francesi potrebbero essere le sole europee a “subire” questo approccio costruttivo dell’Autorità che addirittura dichiara di lasciare loro più tempo prima di sanzionare? Sarebbe interessante conoscere la posizione dell’Autorità di Controllo italiana ma anche delle altre Autorità europee che potrebbero trarre ispirazione da una simile iniziativa. Sicuramente questa posizione del CNIL evidenzia quanto già in passato la stessa Autorità aveva dimostrato: la volontà di coadiuvare i titolari del trattamento nell’applicazione normativa e di non attenderli al varco in caso di errore.

Confidiamo che altre Autorità se non lo stesso Board europeo una volta costituito, prendano esempio… aspettiamo… fiduciosi…

Articolo pubblicato su Punto Informatico

Riproduzione riservata ©

ALTRE NEWS

Data protection officer: una “nuova” figura dell’organizzazione aziendale. La difficile demarcazione tra mero controllo e garanzia

La premessa necessaria a questa breve riflessione è che la figura del data protection officer non è nuova alla normativa comunitaria. L´art. 18 della Direttiva… Leggi Tutto

L’opposizione degli Stati membri agli emendamenti: una clamorosa marcia indietro?

A quanto pare le pesanti pressioni delle grandi imprese statunitensi e del governo americano potrebbero portare ai risultati (da loro) sperati. Se veramente Parlamento e… Leggi Tutto

File scrambling: in Italia sarebbe legittimo?

In questi giorni è uscita la notizia secondo cui un Tribunale finlandese, chiamato a pronunciarsi sulla legalità o meno del file scrambling, ne ha dichiarato… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form