In molti pensano che questa storia del GDPR rappresenti la solita campagna mediatica europea volta a fare “rumore” politico/elettorale e che poi, come per la maggior parte dei regolamenti, passi in secondo piano, scoppiando in una bolla ed eludendo controlli e multe da parte dell’autorità di sorveglianza.
Come se, tra l’altro, l’adeguarsi ad una direttiva in tema di protezione dei dati personali debba essere fatta per rendere contento il parlamento europeo e non per salvaguardare la propria attività lavorativa.
Evidentemente, a nulla sono serviti i fatti di cronaca riguardanti i recentissimi attacchi e furti informatici subiti dagli avvocati iscritti all’Ordine di Roma, da Amazon, da Libero e da Virgilio tra i tanti nell’ultimo mese. Milioni di password ed account hackerati.
Quanti di voi hanno una casella postale (mail) su libero, ad esempio? Cosa custodite dentro quella casella email? Fatture? Foto di famiglia? Documenti aziendali, sanitari, legali, tecnici, documenti di particolare importanza e riservatezza?
Ecco, in seguito a questi recentissimi attacchi i vostri files ora sono potenzialmente di dominio pubblico.
Tuttavia, ogni qualvolta non intervengono né il libero arbitrio, né il senso di convenienza e di necessità a prendere in mano le redini della situazione, un sistema di controllo coercitivo produce sempre i suoi “buoni” frutti.
Al via le ispezioni del Garante
Ed ecco che, dunque, prendono il via le ispezioni e le relative sanzioni da parte dell’Autorità Garante nei confronti di tutti quei soggetti in capo a cui ricade l’obbligo di adeguamento al regolamento europeo in tema di trattamento dei dati personali (GDPR).
La fase di tolleranza in merito all’applicazione delle sanzioni amministrative prevista dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, quantificata nel totale di 8 mesi è ormai giunta al termine.
Dal 20 maggio 2019, i soggetti obbligati dovranno sostenere controlli o ispezioni da parte dell’Autorità che si avvale, inoltre, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali quali, ad esempio, il nucleo speciale “Tutela Privacy e Frodi Tecnologiche” della guardia di finanza.
È la Deliberazione del 14 febbraio 2019 del Garante per la Privacy a fornire i dettagli sui nuovi controlli che coinvolgeranno le imprese e, nello specifico, istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche.
Occorre sottolineare e ricordare quanto segue: mentire e rendere dichiarazioni inesatte o, peggio, totalmente mendaci al Garante, costituisce illecito penale disciplinato dall’art. 168 c.p., il quale recita (al primo comma): “Nel caso in cui il titolare, durante il corso di un accertamento dinanzi al Garante, dichiari o attesti falsamente notizie o produca atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.”
Strumento chiave di eccezionale importanza, all’interno del sistema GDPR, è ricoperto dal “registro del trattamento dei dati”.
Questo è tenuto e redatto dal titolare dei dati personali, nonchè dal responsabile dei dati personali (DPO) e consente di registrare, motivare e dimostrare al Garante, qualsiasi attività e/o azione relativa al trattamento dei dati personali avvenuta sul luogo di lavoro (azienda, ente locale, PMI, società, azienda sanitaria, farmacia, attività commerciale, ecc.), lasciandone traccia in maniera dettagliata, rintracciabile e comprensibile.
Chi saranno gli interessati dai controlli?
I controlli riguarderanno, in primo luogo, i seguenti trattamenti dei dati personali:
- quelli effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
- i trattamenti effettuati per il rilascio dell’identità federata (SPID);
- tutti quelli effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
- qualsiasi trattamento effettuato da società per attività di marketing;
- i trattamenti di dati effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
- infine quelli effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- l’attività del Garante Privacy e della Guardia di Finanza si concentrerà sia su imprese private che su soggetti pubblici, con particolare attenzione sul rispetto delle norme in materia di “informativa e consenso” e sulla durata della conservazione dei dati;
Nel corso del 2018 sono state adottate 175 ordinanze-ingiunzione, con un incremento delle sanzioni comminate e delle somme riscosse pari ad un totale di 8.161.806 euro, a fronte dei 3.776.694 euro registrati nel 2017 (registrando un incremento pari al +116%).
Reati previsti dal GDPR.
Infine, proviamo a schematizzare sinteticamente quanto disposto dall’art. 38 del GDPR. I reati previsti dal Codice sono:
- il trattamento illecito dei dati;
- la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala;
- l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
- la falsità nelle dichiarazioni al garante:
- l’interruzione dell’esecuzione di compiti e poteri del garante;
- l’inosservanza dei provvedimenti del garante.
Sanzioni previste dal GDPR
Il regolamento europeo distingue due gruppi di violazioni:
- Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
– sia l’inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
– che l’inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
– ed inoltre l’inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
- Nel secondo caso sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Esse riguardano le seguenti inosservanze:
– dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
– diritti degli interessati a norma degli articoli da 12 a 22;
– dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
– di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
– di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione, nel senso che si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità.
Le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.
Sanzioni correttive
Inoltre, l’autorità di controllo ha il potere di irrogare sanzioni correttive. Esse consistono nel:
– rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
– rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
– ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
– ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
– imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
– ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
– revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
– infliggere le sanzioni amministrative pecuniarie;
– ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Per saperne di più o per richiedere una consulenza gratuita non esitare a contattarci a info@studioevoluto.it oppure compila il form sottostante e ti contatteremo al più presto