Confidențialitate

Confidențialitate

La 25 mai 2018, a intrat în vigoare noul Regulament (UE) 679/2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, precum și libera circulație a datelor.

Această legislație introduce modificări și inovații importante în raport cu Decretul Legislativ 196/2003 (Codul pentru Protecția Datelor cu Caracter Personal sau așa-numitul Cod de Confidențialitate).

Noua reglementare pune puternic accentul pe „responsabilitatea” (responsabilitatea) proprietarilor de companii și a conducerii superioare – adică pe adoptarea unor comportamente proactive și de natură să demonstreze adoptarea concretă a măsurilor menite să asigure aplicarea legislației.

Primul dintre aceste criterii este rezumat de expresia engleză data protection by default and by design, ceea ce înseamnă necesitatea configurării tratamentului prin luarea în considerare a tuturor măsurilor indispensabile de la bun început pentru a proteja drepturile părților interesate, ținând cont contextul general în care are loc tratamentul și riscurile pentru drepturile și libertățile părților interesate. Toate acestea trebuie să aibă loc în amonte, înainte de a trece la prelucrarea propriu-zisă a datelor, și deci necesită o analiză preventivă și un angajament de aplicare de către operatorii de date prin activități specifice și demonstrabile.

Dintre aceste activități, sunt fundamentale cele legate de analiza riscurilor inerente prelucrării datelor. Riscurile trebuie identificate și analizate printr-un proces specific de evaluare care să permită și identificarea măsurilor de securitate tehnice și organizatorice care trebuie aplicate pentru atenuarea acestor riscuri. La sfârșitul acestei evaluări de impact, operatorul de date va putea decide în mod independent dacă începe prelucrarea (după ce a adoptat măsurile adecvate pentru a atenua suficient riscul) sau dacă va consulta autoritatea de supraveghere competentă pentru a obține indicații cu privire la modul de gestionare a risc rezidual.

Activitatile de consultanta includ asadar intalniri aprofundate la sediul Clientului, si intocmirea proiectelor de documente de baza care trebuie aplicate (informatii, registre, programari).

Fără a pretinde a fi exhaustiv, în cadrul întâlnirilor Clientul va putea evalua impactul noului Regulament asupra propriei realități în raport cu următoarele profiluri:

Relații cu managerii externi
Relațiile cu operatorii de date
Noi reguli privind dezvăluirile și consimțământul
Confidențialitate prin design
Confidențialitate în mod implicit
Registrul activităților de prelucrare
Scurgeri de date
DPIA – Evaluarea impactului privind protecția datelor și securitatea datelor
DPO- Responsabil cu protecția datelor – dacă este cazul
Dreptul la anulare („dreptul de a fi uitat”)
Dreptul la portabilitatea datelor

SANCȚIUNI

Sancțiuni administrative

În conformitate cu articolul 83, autoritatea națională de supraveghere (garantul) ar trebui să fie asigurată în mod celebru că sanctul administrativ este eficient, proporțional și disuasiv. El ar putea fi coerent în principiu, intervenit de autoritate, iar trădarea este la fel de valabilă în diferitele state.

La aplicarea unei amenzi, autoritatea de supraveghere va trebui să ia în considerare diverse criterii pentru a stabili tipul amenzii de aplicat și cuantumul, dacă este cazul:

• natura, gravitatea (mai multe încălcări într-un singur context, sau încălcări separate) și durata încălcării (prin urmare, dacă operatorul a luat măsuri prompte), luând în considerare natura, obiectul sau scopul prelucrării în cauză, precum și numărulpersoanelor vizate de prejudiciu (în raport cu locuitorii țării) și nivelul prejudiciului suferit de acestea (în cazul unor încălcări minore, cu un risc nesemnificativ pentru persoanele vizate, autoritatea poate proceda la o avertisment simplu);
natura intenționată sau neglijentă a încălcării (o încălcare intenționată va fi considerată mai gravă);
dacă încălcarea a adus un profit proprietarului;
măsurile luate de operatorul de date sau de operatorul de date pentru a atenua prejudiciul suferit de persoanele vizate;
gradul de responsabilitate al operatorului sau împuternicitului ținând cont de măsurile tehnice și organizatorice pe care le pun în aplicare;
orice încălcări relevante anterioare comise de operator sau de operator;
gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării și atenuării eventualelor efecte negative ale acesteia;
categoriile de date cu caracter personal afectate de încălcare;
modul în care autoritatea de supraveghere a luat cunoștință de încălcare, în special dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
dacă au fost luate anterior măsuri împotriva operatorului sau împuternicitului de date în cauză în legătură cu același obiect, respectarea acestor măsuri;
respectarea codurilor de conduită sau a mecanismelor de certificare.

Pedepse penale

Legiuitorul italian, prin decretul de adaptare a Codului de confidențialitate, a confirmat în mod substanțial infracțiunile prevăzute de Cod, introducând asigurarea prejudiciului ca element caracterizator ca alternativă la scopul profitului. Prin urmare, se va lua în considerare nu doar profitul economic al infractorului ci și prejudiciul cauzat părților interesate, inclusiv prejudiciul adus imaginii și reputației victimei, acoperind astfel cazurile de porno răzbunare.

Resturile prevăzute de Cod sunt:

prelucrarea ilegală a datelor,
comunicarea și difuzarea ilegală a datelor cu caracter personal prelucrate pe scară largă,
achiziționarea frauduloasă a datelor cu caracter personal fiind prelucrate pe scară largă,
declarații false la garant,
întreruperea îndeplinirii atribuțiilor și atribuțiilor garantului,
nerespectarea prevederilor garantului.

L’art. 167 din Cod stabilește că: „Când pentru același fapt se aplică de către Garant o sancțiune administrativă pecuniară în temeiul prevederilor prezentului cod sau ale Regulamentelor și aceasta a fost încasată, pedeapsa se reduce”. Norma pare însă a fi complet nedeterminată în ceea ce privește criteriile de stabilire a scăderii.

De asemenea, infracțiunile prevăzute de art. 167 bis și 167 ter din Cod au elementul caracterizator al tratamentului pe scară largă, concept deja introdus prin regulament și fundamentat de opiniile Grupului de Lucru art. 29 (azi Comitetul European pentru Protecția Datelor). Implementarea legii penale ar putea crea probleme de taxabilitate întrucât conceptul este străin de legea penală.

Încălcările

Regulamentul european distinge două grupe de încălcări.

În primul caz, penalitățile pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală a companiei la nivel mondial, oricare dintre acestea este mai mare, și se referă la:
1. nerespectarea obligațiilor operatorului și operatorului de date în temeiul articolelor 8 (consimțământul minorilor), 11 (prelucrare care nu necesită identificare), 25 până la 39 (confidențialitate implicit, operatori comuni, reprezentanți nestabiliți în Uniune, operatori de date, registru de prelucrare, securitate, notificare de încălcare, evaluare de impact, DPO), 42 și 43;
2. nerespectarea obligațiilor organismului de certificare conform articolelor 42 și 43;
3. nerespectarea obligațiilor organismului de control în conformitate cu articolul 41 alineatul (4).
Un al doilea grup de încălcări, pentru care sunt prevăzute amenzi de până la 20 de milioane de euro sau de până la 4% din cifra de afaceri totală anuală la nivel mondial a anului precedent, oricare dintre acestea este mai mare. Îngrijorare:
1. nerespectarea principiilor de bază ale tratamentului, inclusiv a condițiilor referitoare la consimțământ, în conformitate cu articolele 5, 6, 7 și 9;
2. nerespectarea drepturilor persoanelor vizate conform articolelor 12-22;
3. nerespectarea transferurilor de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 44-49;
4. nerespectarea oricărei obligații în temeiul legislației statelor membre adoptate în temeiul capitolului IX;
5. nerespectarea unui ordin, o limitare temporară sau definitivă a prelucrării sau un ordin de suspendare a fluxurilor de date de la autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) sau refuzul accesului cu încălcarea articolului 58 alineatul (2) 1.

În orice caz, sancțiunile trebuie considerate o armă disuasivă, cu siguranță nu o pedeapsă, în sensul că, așa cum a precizat Isabelle Falque-Pierrotin, președintele grupului Articolul 29, se va ține seama de ajustarea treptată necesară unei reglementări ca complex ca GDPR și orice încălcare va fi cântărită în lumina gravității acesteia. Sancțiunile vor fi așadar și proporționale cu firma, pentru a nu o obliga să închidă afacerea.

Sancțiuni corective

Autoritatea de supraveghere are competența de a impune sancțiuni corective. Ele constau in:

adresați avertismente operatorului sau împuternicitului de date cu privire la faptul că tratamentele avute în vedere pot încălca regulile;
adresați avertismente operatorului sau procesatorului de date în cazul în care tratamentele au încălcat regulile;
să ordone operatorului sau împuternicitului de date să dea curs solicitărilor persoanei vizate de a-și exercita drepturile conexe;
ordona operatorului sau împuternicitului de date să conformeze tratamentele la reguli, specificând eventual metodele și termenele de conformare;
să impună o limitare temporară sau definitivă a prelucrării, să suspende temporar prelucrarea sau să o interzică cu totul;
dispune rectificarea, anularea sau actualizarea datelor cu caracter personal;
să revoce certificările sau să dispună organismului de certificare să retragă certificările eliberate dacă cerințele nu sunt îndeplinite;
aplica amenzi administrative;
dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau o organizație internațională.

Apeluri

Măsurile adoptate de autoritățile de supraveghere pot fi atacate în fața autorității judiciare.

Solicitați o ofertă pentru a primi sfaturile necesare pentru adaptarea la noua legislație privind confidențialitatea.

SANCȚIUNI

ULTIME NEWS

contactaţi-ne