GDPR, Francia: per i primi mesi no a sanzioni alle aziende sui nuovi obblighi

Il CNIL, la Data Protection Authority francese, ha annunciato un periodo durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo 2016/679 – GDPR.

La Commission Nationale de l’Informatique et des Libertés vara grace period, una finestra di tempo, in cui è concesso a chi è inadempiente di porre rimedio.

Si tratta del primo Stato membro che annuncia una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment).

Il comunicato del CNIL – qui consultabile–  identifica nei “primi mesi” la portata del grace period. 

Il CNIL però pone delle condizioni. I titolari dovranno dimostrare:

• di avere avviato un processo di GDPR compliance;
• che il ritardo è accumulato in buona fede;
• spirito di collaborazione con l’Autorità.

Rimarranno sanzionabili le condotte che violano i principi della normativa privacy nazionali, confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, messa in sicurezza).

Secondo dati recenti, solo il 3% delle aziende è già in regola, mentre 2 su 5 non hanno nemmeno disegnato un piano di adeguamento.