Scadenza GDPR: 20 Maggio 2019. Quali sono le sanzioni per chi non è a norma

S

gdpr scadenza e sanzioni

Lo scorso 20 maggio 2019 è scaduto il termine di tolleranza previsto dal Garante della Privacy. Il periodo di grazia per le inadempienze al nuovo regolamento previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101 è giunto al termine: l’art. 22 dispone, infatti che per i primi 8 mesi dall’entrata in vigore del decreto il Garante, nella comminazione delle sanzioni amministrative, deve tenere conto della fase di prima applicazione delle disposizioni sanzionatorie.

A partire dal 20 maggio 2019 il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Tutte le aziende e le PA dovranno essere pronte per sostenere eventuali controlli o ispezioni gestiti e organizzati direttamente dalla Guardia di Finanza.

In questo scenario, diventa fondamentale che le imprese abbiano ben presente quali siano i reali rischi a cui possano andare incontro in termini di sanzioni amministrative. Ricordiamo che la nuova normativa sul trattamento dei dati personali prevede anche sanzioni di natura penale che, in questo articolo, tratteremo soltanto marginalmente.

Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link

 

Mettiti in regola

 

SCADENZA GDPR 20-05-19: QUALI SONO I CONTROLLI DELLA GUARDIA DI FINANZA

Il Regolamento UE n.679/2016 e il D.Lgs. 181/2018 stabiliscono i requisiti da rispettare per la gestione e il trattamento dei dati personali. Per quanto riguarda le verifiche ispettive da parte degli organi di controllo preposti, è importante capire quali siano gli adempimenti di minima che tutte le aziende interessate devono assolvere per poter essere considerate compliance.

Per la conformità al GDPR, le imprese, gli enti ed organizzazioni devono poter dimostrare di aver predisposto un c.d. «sistema privacy», dinamico che si evolve nel tempo, costituito dai seguenti componenti:

  1. Registro dei Trattamenti
  2. Obbligo nomina del DPO (se obbligatoria);
  3. Informative (clienti, fornitori, dipendenti, collaboratori)
  4. Lettere di nomina dei ruoli privacy all’interno dell’azienda
  5. Analisi del profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza);
  6. Analisi delle misure organizzative e di protezione adottate – Manuale Operativo Privacy (M.O.P.)
  7. Controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito) o in caso di valutazione di impatto.
  8. Analisi dei rischi e DPIA Data Protection Impact Assessment (se obbligatorio)

AVVERTENZA: Le verifiche ispettive messe in atto dalla Guardia di Finanza avranno ad oggetto proprio gli aspetti sopra elencati. 

In relazione all’esito delle verifiche e delle ispezioni effettuate si ricorda che spetta al Garante il compito di decidere l’entità delle sanzioni, in base agli elementi raccolti durante la fase ispettiva della Guardia di finanza. Il Garante, secondo l’art. 83 del Regolamento, garantirà inoltre che essa sia effettiva, proporzionata e dissuasiva.

 

SCADENZA GDPR 20-05-19: QUALI SONO LE SANZIONI AMMINISTRATIVE

In base all’articolo 83 è il Garante della Privacy a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive: infatti, al momento di infliggere una sanzione pecuniaria, l’autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l’eventuale importo.

ELEMENTI CONSIDERATI DAL GARANTE AI FINI DELLA DETERMINAZIONE DELLE SANZIONI
L’art. 83 comma 2 del Regolamento UE 679/2016 stabilisce le autorità di controllo al momento di irrogare sanzioni debbano considerare i seguenti elementi:

  1. la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  2. il carattere doloso o colposo della violazione;
  3. le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  4. il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  5. eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  6. il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  7. le categorie di dati personali interessate dalla violazione;
  8. la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  9. qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  10. l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
  11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Il Regolamento UE n.679/2016 distingue due grandi gruppi di sanzioni amministrative in relazione alle violazioni commesse in materia di gestione e trattamento di dati personali. Di seguito vediamo violazioni e sanzioni collegate.

IMPORTO SANZIONE TIPOLOGIA VIOLAZIONE
sanzioni fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, qualora le violazioni riguardino:
  1. inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento registro del trattamento, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
  2. inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
  3. inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
sanzioni fino a 20 milioni di euro oppure fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, qualora le violazioni riguardino:
  1. inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso a norma degli articoli 5, 6, 7 e 9;
  2. inosservanza dei diritti agli interessati a norma degli articoli da 12 a 22;
  3. inosservanza dei trasferimenti di dati personali a un destinatario in un Paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  4. inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  5. inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

 

SCADENZA GDPR 20-05-19: QUALI SONO LE SANZIONI PENALI

Il D.Lgs. 101/2018 è intervenuto modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy (D.Lgs. 196/2003) ed integrando le stesse con ulteriori violazioni.

A titolo meramente esemplificativo si ricorda che le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:

  • 167 (Trattamento illecito dei dati)
  • 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
  • Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
  • Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
  • Art. 170 (Inosservanza dei provvedimenti del Garante);

Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link

 

Mettiti in regola

Lascia un commento