Lo scorso 20 maggio 2019 è scaduto il termine di tolleranza previsto dal Garante della Privacy. Il periodo di grazia per le inadempienze al nuovo regolamento previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101 è giunto al termine: l’art. 22 dispone, infatti che per i primi 8 mesi dall’entrata in vigore del decreto il Garante, nella comminazione delle sanzioni amministrative, deve tenere conto della fase di prima applicazione delle disposizioni sanzionatorie.
A partire dal 20 maggio 2019 il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Tutte le aziende e le PA dovranno essere pronte per sostenere eventuali controlli o ispezioni gestiti e organizzati direttamente dalla Guardia di Finanza.
In questo scenario, diventa fondamentale che le imprese abbiano ben presente quali siano i reali rischi a cui possano andare incontro in termini di sanzioni amministrative. Ricordiamo che la nuova normativa sul trattamento dei dati personali prevede anche sanzioni di natura penale che, in questo articolo, tratteremo soltanto marginalmente.
Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link
Mettiti in regola
SCADENZA GDPR 20-05-19: QUALI SONO I CONTROLLI DELLA GUARDIA DI FINANZA
Il Regolamento UE n.679/2016 e il D.Lgs. 181/2018 stabiliscono i requisiti da rispettare per la gestione e il trattamento dei dati personali. Per quanto riguarda le verifiche ispettive da parte degli organi di controllo preposti, è importante capire quali siano gli adempimenti di minima che tutte le aziende interessate devono assolvere per poter essere considerate compliance.
Per la conformità al GDPR, le imprese, gli enti ed organizzazioni devono poter dimostrare di aver predisposto un c.d. «sistema privacy», dinamico che si evolve nel tempo, costituito dai seguenti componenti:
- Registro dei Trattamenti
- Obbligo nomina del DPO (se obbligatoria);
- Informative (clienti, fornitori, dipendenti, collaboratori)
- Lettere di nomina dei ruoli privacy all’interno dell’azienda
- Analisi del profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza);
- Analisi delle misure organizzative e di protezione adottate – Manuale Operativo Privacy (M.O.P.)
- Controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito) o in caso di valutazione di impatto.
- Analisi dei rischi e DPIA Data Protection Impact Assessment (se obbligatorio)
AVVERTENZA: Le verifiche ispettive messe in atto dalla Guardia di Finanza avranno ad oggetto proprio gli aspetti sopra elencati.
In relazione all’esito delle verifiche e delle ispezioni effettuate si ricorda che spetta al Garante il compito di decidere l’entità delle sanzioni, in base agli elementi raccolti durante la fase ispettiva della Guardia di finanza. Il Garante, secondo l’art. 83 del Regolamento, garantirà inoltre che essa sia effettiva, proporzionata e dissuasiva.
SCADENZA GDPR 20-05-19: QUALI SONO LE SANZIONI AMMINISTRATIVE
In base all’articolo 83 è il Garante della Privacy a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive: infatti, al momento di infliggere una sanzione pecuniaria, l’autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l’eventuale importo.
ELEMENTI CONSIDERATI DAL GARANTE AI FINI DELLA DETERMINAZIONE DELLE SANZIONI |
L’art. 83 comma 2 del Regolamento UE 679/2016 stabilisce le autorità di controllo al momento di irrogare sanzioni debbano considerare i seguenti elementi:
|
Il Regolamento UE n.679/2016 distingue due grandi gruppi di sanzioni amministrative in relazione alle violazioni commesse in materia di gestione e trattamento di dati personali. Di seguito vediamo violazioni e sanzioni collegate.
IMPORTO SANZIONE | TIPOLOGIA VIOLAZIONE |
sanzioni fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, qualora le violazioni riguardino: |
|
sanzioni fino a 20 milioni di euro oppure fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, qualora le violazioni riguardino: |
|
SCADENZA GDPR 20-05-19: QUALI SONO LE SANZIONI PENALI
Il D.Lgs. 101/2018 è intervenuto modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy (D.Lgs. 196/2003) ed integrando le stesse con ulteriori violazioni.
A titolo meramente esemplificativo si ricorda che le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:
- 167 (Trattamento illecito dei dati)
- 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
- Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
- Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
- Art. 170 (Inosservanza dei provvedimenti del Garante);
Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link
Mettiti in regola