Le autorità di supervisione francese, il CNIL, ha ufficializzato in un proprio comunicato che nel primo semestre di applicazione adotterà una ragionevole tolleranza, purché venga riscontrato un’effettiva diligenza dei titolare del trattamento nel processo di messa in regola.
L’impostazione del CNIL è condivisa da altre autorità garanti Europee e, sebbene informalmente, anche dal nostro garante. Va sottolineato, comunque, che la tolleranza presuppone diligenza e non certo lassismo.
Come ben sappiamo le prescrizioni del GDPR penetrano nel tessuto organizzativo aziendale infiltrandosi in profondità, richiedendo la partecipazione attiva del vertice e di tutte le funzioni aziendali, in uno sforzo continuativo per l’impianto di un sistema di governo, da gestire e migliorare nel tempo avendo in mente la spirale del ciclo di De-mining( o ciclo di PDCA, acronimo dall’inglese Plan – Do – Check-Act) cioè pianificare, fare,verificare e agire che è alle fondamenta del miglioramento dei processi Aziendali e della logica del GDPR.
Ciò permetterà di gestire con diligenza operazioni complesse, come le valutazioni del rischio per i diritti e le libertà dei soggetti cui si riferiscono i dati personali, la determinazione dei tempi di conservazione dei dati nei diversi contesti e finalità, la valutazione data Protection sin dalla fase di concepimento progettuale, la determinazione del presumibile alto rischio “privacy” nelle diverse attività aziendali, l’effettuazione di un affidabile valutazione di impatto o DPIA.
A maggio 2016, quando il regolamento fu approvato ed entrò in vigore, l’attenzione generale non fu pari alla portata della riforma: il mondo imprenditoriale europeo e quello italiano, in particolare, per lo più ha cominciato a interessarsi al tema verso fine 2017, lanciando piani di compliance per adeguare le proprie strutture alle nuove prescrizioni.
In via generale, i pochi mesi a disposizione non sono bastati ad assicurare il raggiungimento pieno dell’obiettivo. Per tali motivi il Garante francese si è fatto promotore di questa iniziativa, cioè una partenza a scoppio ritardato per circa sei mesi. Unico obbligo da parte delle organizzazioni è accendere i motori per il 25 maggio prossimo.