PRIVACY

Privacy

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati stessi.

Tale normativa introduce importanti modifiche e novità rispetto al D.Lgs. 196/2003 (Codice in materia di Protezione dei dati personali o cd. Codice Privacy).

Il nuovo regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability) dei titolari e dei vertici aziendali – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della normativa.

Il primo di questi criteri è sintetizzato dall’espressione inglese data protection by default and by design, che significa la necessità di configurare il trattamento prevedendo fin dall’inizio tutte le misure indispensabili al fine di tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, e pertanto richiede un’analisi preventiva e un impegno applicativo da parte dei titolari attraverso attività specifiche e dimostrabili.

Fra tali attività, fondamentali sono quelle connesse all’analisi dei rischi inerenti al trattamento dei dati. I rischi devono essere individuati ed analizzati tramite un apposito processo di valutazione che consenta anche di individuare le misure tecniche ed organizzative di sicurezza da applicare per mitigare tali rischi. All’esito di questa valutazione di impatto, il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) oppure se consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuo.

Le attività di consulenza comprendono quindi degli incontri di approfondimento presso la sede del Cliente, e la predisposizione in bozza dei documenti di base da applicare (informative, registri, nomine).

Senza pretesa di esaustività, durante gli incontri il Cliente sarà messo in grado di valutare l’impatto del nuovo Regolamento sulla propria realtà in relazione ai seguenti profili:

  • Rapporti con responsabili esterni
  • Rapporti con titolari del trattamento
  • Nuove regole su informative e consensi
  • Privacy by design
  • Privacy by default
  • Registro delle attività di trattamento
  • Data breaches
  • DPIA -Data Protection Impact Assessment e la sicurezza dei dati
  • DPO- Data Protection Officer – se applicabile
  • Diritto alla cancellazione (“diritto all’oblio”)
  • Diritto alla portabilità dei dati

SANZIONI

Sanzioni amministrative

In base all’articolo 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. In base al principio di coerenza, l’intervento delle autorità dovrà essere equivalente tra i vari Stati.

Al momento di infliggere una sanzione pecuniaria, l’autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l’eventuale importo:

  • la natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente) tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l’autorità può procedere con un semplice avvertimento);
  • il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave);
  • se la violazione ha portato un profitto al titolare;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l’adesione ai codici di condotta o ai meccanismi di certificazione.


Sanzioni penali

Il legislatore italiano, col decreto di adeguamento del Codice Privacy, ha sostanzialmente confermato le fattispecie penali previste dal Codice, introducendo la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Quindi non si terrà contro del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati, compreso il danno d’immagine e reputazionale della vittima, in tal modo coprendo le fattispecie di revenge porn.

 I resti previsti dal Codice sono:

  • il trattamento illecito dei dati,
  • la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala,
  • l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala,
  • la falsità nelle dichiarazioni al garante,
  • l’interruzione dell’esecuzione di compiti e poteri del garante,
  • l’inosservanza dei provvedimenti del garante.

L’art. 167 del Codice stabilisce che: “Quando per lo stesso fatto è applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita”. La norma, però, appare del tutto indeterminata rispetto ai criteri per stabilire la diminuzione.

Inoltre, i reati previsti dall’art. 167 bis e 167 ter del Codice hanno come elemento caratterizzate il trattamento su larga scala, concetto già introdotto dal regolamento e sostanziato dai pareri del Working Party art. 29 (oggi European Data Protection Board). L’attuazione della norma penale potrebbe creare problemi di tassatività essendo il concetto estraneo alla normativa criminale.


Le violazioni

Il regolamento europeo distingue due gruppi di violazioni.

  • Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
    1. inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
    2. inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
    3. inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
  • Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:
    1. inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    2. inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
    3. inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
    4. inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    5. inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

 

 

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.


Sanzioni correttive

L’autorità di controllo ha il potere di irrogare sanzioni correttive. Essi consistono nel:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • infliggere le sanzioni amministrative pecuniarie;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.


Impugnazioni

I provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all’autorità giudiziaria.

Richiedi un preventivo per ricevere la Consulenza necessaria per l’adeguamento alla nuova normativa Privacy.

Inserire Word bloccato compilabile per richiesta di informazioni e/o preventivo.

ULTIME NEWS

CONTATTACI