Privacy in azienda. Le novità del GDPR ewebtv.confindustria.vicenza.it/importedfiles/Del Ninno...

Privacy in azienda. Le novità del GDPR e

l’impatto sulle aziende. Il quadro aggiornato

degli adempimenti aziendali.

Convegno Confindustria Vicenza – 4 Maggio 2018.

1. Aggiornamenti del quadro

interpretativo del RGPD.

3

LE LINEE GUIDA INTERPRETATIVE DEL GDPR

Linee-guida sui responsabili della protezione dei dati (RPD) WP243 del 13 dicembre

2016 (emendate il 5.4.2017)

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i

criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del

Regolamento 2016/679 WP248 del 5.4.2017 (emendate il 4.10.2017)

Linee-guida sulla applicazione e sulla definizione delle sanzioni amministrative ai sensi

del Regolamento 2016/679 – WP 253 del 3 Ottobre 2017

Linee-guida sul diritto alla portabilità dei dati personali WP242 del 13 dicembre 2016

(emendate il 5.4.2017)

Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno

specifico titolare o responsabile del trattamento WP244 del 13.12.2016 (emendate il

5.4.2017)

Linee-guida sui processi decisionali individuali automatizzati e sulla profilazione ai

sensi del Regolamento 2016/679 – WP 251 del 3 Ottobre 2017

Linee-guida sulla notificazione delle violazioni di dati personali (“data breach”) - WP 250

del 3 Ottobre 2017

1. Aggiornamenti del quadro interpretativo del RGPD.

4

LE LINEE GUIDA INTERPRETATIVE DEL GDPR

Linee-guida sulla trasparenza (RPD) WP260

Linee-guida sul consenso (RPD) WP259

Linee-guida sull’accreditamento degli enti di certificazione (RPD) WP261


5

L’ATTUAZIONE DELL’ART. 30 COMMA 5 DEL RGPD SUL REGISTRO DEI TRATTAMENTI

Art. 30, comma 5 RGPD

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno

di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio

per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il

trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali

relativi a condanne penali e a reati di cui all'articolo 10.

Con il Documento di Lavoro dell’11 Aprile 2018 i Garanti UE hanno chiarito che le

imprese con meno di 250 dipendenti che effettuano trattamenti che ricadono in uno dei

tre casi alternativi hanno l’obbligo di tenuta del Registro dei trattamenti, sia pure con

riferimento limitato ai soli trattamenti per cui l’esenzione non si applica.

“For example, a small organisation is likely to regularly process data regarding its employees.

As a result, such processing cannot be considered “occasional” and must therefore be

included in the record of processing activities. Other processing activities which are in fact

“occasional”, however, do not need to be included in the record of processing activities,

provided they are unlikely to result in a risk to the right and freedoms of data subjects and do

not involve special categories of data or personal data relating to criminal convictions and

offences”.


6

ELENCHI DI TRATTAMENTI AI FINI DELLO SVOLGIMENTO DELLA VALUTAZIONE DI

IMPATTO PREVENTIVA - DPIA

Art. 35, commi 3 e 4 RGPD

4. L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti

soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del

paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.

5. L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di

trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati.

L'autorità di controllo comunica tali elenchi al comitato.

L’autorità privacy polacca e quella belga hanno già emanato tali liste, che possono

essere prese come valido riferimento.


7



Esempi di trattamenti specifici soggetti ad obbligo di PIA:

Profilazione della clientela con strumenti automatizzati; sistemi e tool usati dal Dipartimento

IT per monitorare il tempo lavorativo dei dipendenti; sistemi di registrazione della presenza

del lavoratore basati sul trattamento di dati biometrici; centralizzazione della gestione HR

presso holding o providers non stabiliti nella UE; dati biometrici trattati per garantire accesso

ad aree/servizi specifici (es: banche;); accessi ZTL; videosorveglianza pubblica;

geolocalizzazione per bike e car sharing; applicazioni installate su device mobili (I.o.T.);

veicoli dotati di sistemi di analisi delle abitudini di guida; programmi di fidelizzazione e loyalty

che contengono elementi/trattamenti di profilazione; portali IT e/o servizi cloud per il

management di documenti personali ed email; servizi dei social media; incrocio di dati da

pubblici registri a scopi marketing; servizi di selezione avanzata del personale (incontro

domanda offerta di lavoro basato su preferenze); sistemi e contatori di consumo da remoto;

giocattoli interattivi; utilizzo di cloud services con server ubicati al di fuori della UE; gestioone

dei dati in centrali-rischi private; trattamenti pre-contrattuali volti a verificare tramite la

consultazione di database di informazioni commerciali la affidabilità.


8



Esempi di trattamenti specifici NON soggetti ad obbligo di PIA:

Trattamenti svolti da titolari privati in adempimento di un obbligo di legge, purchè la legge

individui le finalità del trattamento, le tipologie di dati personali e le garanzie per gli

interessati; trattamenti esclusivamente finalizzati alla gestione della retribuzione dei

lavoratori; trattamenti di dati personali solo comuni relativi alla gestione del personale;

trattamenti dei dati personali di soci; trattamenti svolti da enti a caratteri non lucrativo di utilità

sociale; trattamenti di dati personali effettuati nell’ambito del controllo degli accessi dei

visitatori (registri visitatori).


2. Le modalità pratiche di resa

della Informativa privacy: le

indicazioni delle Linee Guida

sulla Trasparenza

10

LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA

NUOVA INFORMATIVA PRIVACY

1. se on line, l’informativa deve essere sempre “layered” cioè multistrato, con link e

sezioni autonomamente navigabili (e il primo livello dedicato alle informazioni più

rilevanti, con la indicazione complessiva delle conseguenze e dell’impatto sulla sfera

privacy dell’interessato), onde evitare quello che viene chiamato “l’affaticamento

informativo”;

2. come sviluppo della informativa multistrato, la trasparenza come principio da

documentare può essere ottenuta anche mettendo a disposizione “privacy dashboard” in

cui l’utente, in una area riservata, può gestire le proprie impostazioni privacy e le

preferenze avverso il titolare del trattamento;

3. altra modalità trasparente di resa dell’informativa è quelle “just in time” come ad esempio

indicare accanto ad un campo di un format on line (es: numero di telefono) le informazioni

ad hoc (“il numero sarà utilizzato per gestire la consegna del prodotto e sarà comunicato

al corriere”);

2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.

11



4. il link alla Informativa deve essere presente e ben visibile in ogni pagina web del

sito;

5. essendovi per il titolare del trattamento l’obbligo di documentare le “misure appropriate”

atte a garantire la comprensibilità, chiarezza e trasparenza della informativa, i Garanti UE

richiedono che prima di rendere effettivo il rilascio della informativa, sia condotto un

test preventivo al “go live” chiedendo ai potenziali destinatari (anche attraverso

pannelli utente) se l’informativa è per loro comprensibile, trasparente e chiara;

6. l’informativa orale – quando prevista (su richiesta dell’interessato) o resa da device privi

di schermo, va sempre resa con modalità che consentano il riascolto;

7. il link alla pagina web che contiene l’Informativa estesa (es: nelle istruzioni cartacee di un

device privo di schermo che tratta i dati del cliente) deve essere sempre quello

specifico (non un link generico alla home page);

8. il linguaggio non può mai essere generico e per categorie, né ipotetico o futuro (es:

“potremmo trattare i dati per sviluppare nuovi servizi”; “trattiamo i dati per scopi di

ricerca”, “potremmo trattare i dati per personalizzare le sue scelte”);


12



9. l’informativa privacy sul trattamento di dati personali tramite app deve essere

disponibile per il download fin dalla presentazione dell’app sullo store on line, e va

resa scaricabile prima del download dell’app medesima;

10. in aggiunta agli elementi pure elencati agli articoli 13 e 14, i Garanti UE ritengono

obbligatorio specificare nelle Informative privacy – con un linguaggio che non deve

essere ambiguo o generico - le principali conseguenze del trattamento, in termini delle

principali tipologie di trattamento previste che potrebbero avere un elevato impatto sulla

sfera privacy dell’interessato;

11. se cambiano alcuni aspetti della informativa (es: si aggiunge una categoria di destinatari

della comunicazione, o si aggiunge un Paese extra UE come trasferimento all’estero

prima non previsto), il RGPD non dà indicazione sui tempi entro i quali all’interessato

deve essere comunicato il cambiamento (diverso dalla introduzione di nuove finalità non

originariamente non previste, che deve precedere l’inizio del trattamento), né vi sono

indicazioni sulle modalità con le quali informare l’interessato. Il WP indica che la

comunicazione avvenga con congruo anticipo rispetto alla effettività del cambiamento, in

modo da dare possibilità all’interessato di reagire (es: revocando il consenso); inoltre, in

aderenza al principio di trasparenza, non va comunicato all’interessato solo il

cambiamento in quanto tale delle informazioni, ma altresì quali sono le conseguenze e

l’impatto sulla sfera privacy dei cambiamenti oggetto della comunicazione;


13



12. soprattutto nei casi in cui un trattamento è in corso da parecchio tempo (es: l’interessato usa

continuativamente un servizio ed è trascorso molto tempo da quando ha letto originariamente

l’informativa) il WP richiede che ad intervalli di tempo regolari il titolare del trattamento richiami

l’attenzione degli interessati sulla importanza di andarsi a rileggere l’informativa;

13. gli stessi obblighi si applicano, infine, a tutte le modifiche susseguenti al rilascio ella originaria

informativa: vanno comunicate le sole modifiche in comunicazioni che siano notate dai

destinatari (es: via email one-to-one o via lettera cartacea che evidenzi le sole modifiche alla

originaria informativa) con divieto di includere la comunicazione in altre (es: direct marketing).

E’ vietato ribaltare sul destinatario l’obbligo di andarsi a vedere periodicamente eventuali

aggiornamenti o modifiche alla informativa;

14. La obbligatoria indicazione dei “destinatari” dei dati personali (cioè i soggetti e le entità che

ricevono in comunicazione i dati) copre ai sensi del GDPR sia i terzi esterni che i soggetti

interni alla struttura del Titolare del trattamento: le ipotesi di comunicazione dei dati dovranno

menzionare cioè anche eventuali responsabili interni, responsabili esterni, contitolari del

trattamento, (tutti da indicare nominativamente) come “destinatari” dei dati; ove il Titolare

scelga di indicare per categorie i destinatari dei dati, egli deve giustificare perché ritiene tale

approccio corretto e in ogni caso il riferimento alla categoria non deve essere generico ma

specifico, facendo riferimento alle attività svolte, al settore, alla industria, e alla ubicazione

territoriale dei destinatari individuati per categoria;


14



15. In caso vi sia trasferimento dei dati al di fuori dell’Unione Europea, vanno specificasti

nell’informativa gli specifici articoli che disciplinano i diversi presupposti di un

lecito trasferimento (es: decisioni di adeguatezza del Paese terzo ai sensi dell’art. 45

GDPR, oppure norme vincolanti di impresa ai sensi dell’art. 47, etc). Ove possibile, un

link al meccanismo utilizzato o alle informazioni rilevanti sul trasferimento oppure la

specifica informazione su dove può essere ottenuta la relativa documentazione da parte

del titolare, va indicato. Infine, in accordo al principio di correttezza, vanno specificati

nominativamente tutti i Paese terzi extra UE destinatari dei dati, pubblicando la

relativa lista;

16. Con riferimento alla informazione relativa al periodo di conservazione dei dati o al

meccanismo/criterio utile per determinare tale periodo, tale obbligo è legato al requisito

della minimizzazione dei dati (principio di necessità). Si può fare riferimento a termini di

legge, o a prassi nel settore industriale ove opera il titolare, ma in ogni caso l’interessato

deve essere messo in grado di valutare quale sarà il periodo di conservazione dei dati

per ciascuna finalità. E’ insufficiente e vietato per il Titolare affermare genericamente che i

dati saranno conservati per tutto il tempo necessario a perseguire le finalità del

trattamento. Ove rilevante, dovrebbero essere indicati periodi di conservazione diversi

per differenti categorie di dati personali e/o per differenti finalità del trattamento, incluso –

ove appropriato – l’indicazione del periodo a partire dal quale i dati vengono archiviati.


15



17. Nella indicazione dei diritti dell’interessato va specificato un sommario/sintesi del

diritto in questione e attraverso quali passi l’interessato può esercitarlo;

particolare attenzione va posta sulla portabilità del dato ai sensi delle relative linee

guida. Nel fornire le informazioni necessarie, i titolari devono aver cura di distinguere il

diritto alla portabilità da altri diritti. Infine, il Gruppo “Articolo 29” raccomanda ai titolari

“riceventi” di fornire agli interessati un’informativa completa sulla natura dei dati personali

pertinenti ai fini della prestazione del rispettivo servizio. Oltre a costituire il fondamento

della correttezza del trattamento, ciò permetterà agli utenti di ridurre i rischi per i terzi

interessati e di evitare inutili duplicazioni di dati personali anche ove non siano coinvolti

altri interessati;

18. Ove il trattamento sia basato sul consenso, il diritto di revocarlo in ogni momento deve

essere accompagnato nella informativa dalla spiegazione sule (facili) modalità con le

quali la revoca può essere comunicata ed esercitata;

19. L’informazione sul diritto di proporre reclamo all’Autorità di controllo deve essere

accompagnato, ai sensi dell’art. 77 del GDPR, dalla informazione che l’Autorità di

controllo competente è quella del luogo abituale di residenza o di domicilio di chi contesta

la violazione del GDPR.


3. L’apparato sanzionatorio

del GDPR: le sanzioni

civilistiche.

17

L’APPARATO SANZIONATORIO DEL GDPR: IL RISARCIMENTO DEL DANNO DA

TRATTAMENTO DEI DATI PERSONALI

Qual è la ripartizione delle responsabilità tra titolare e responsabile del trattamento in caso

di richieste civilistiche di risarcimento o sanzioni applicate?

Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il

diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del

trattamento.

Il titolare del trattamento risponde per il danno cagionato da un suo trattamento.

Il responsabile del trattamento risponde per il danno causato dal trattamento solo se:

a) non ha adempiuto gli obblighi GDPR specificatamente diretti ai responsabili del trattamento;

b) ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Tanto il titolare che il responsabile hanno comunque la possibilità esimente della responsabilità in

caso possano dimostrare che l'evento dannoso non è in alcun modo loro imputabile.

L’apparato sanzionatorio del GDPR: le sanzioni civilistiche.

18

L’APPARATO SANZIONATORIO APPLICABILE AL TITOLARE O AL RESPONSABILE

DEL TRATTAMENTO

Responsabilità solidale e regresso.

Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare

del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e

siano responsabili dell'eventuale danno causato dal trattamento, ogni titolare del

trattamento o responsabile del trattamento è responsabile in solido per l'intero

ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.

Qualora il titolare del trattamento o il responsabile del trattamento abbia pagato l'intero

risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il

diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti

nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di

responsabilità per il danno.

L’apparato sanzionatorio applicabile al titolare e al responsabile del trattamento.

19

IL RUOLO DELL’ASSOCIAZIONISMO: UNA CLASS ACTION PRIVACY?

Considerando 142:

Qualora l'interessato ritenga che siano stati violati i diritti di cui gode a norma del presente

regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un'organizzazione

o un'associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno

Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore

della protezione dei dati personali, per proporre reclamo per suo conto a un'autorità di

controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o

esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se

quest'ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono

prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre

reclamo in tale Stato membro, indipendentemente dall'eventuale mandato

dell'interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia

motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un

trattamento dei dati personali che violi il presente regolamento. Tale organismo,

organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del

danno per conto di un interessato indipendentemente dal mandato dell'interessato.

L’apparato sanzionatorio del GDPR: sanzioni civilistiche.


del GDPR: i criteri di

determinazione in concreto

delle sanzioni amministrative

pecuniarie.

21

I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE

PECUNIARIE

IL GDPR prevede le condizioni generali per infliggere sanzioni amministrative pecuniarie (art.

83).

Come principio generale, le sanzioni amministrative pecuniarie inflitte per violazione del

GDPR devono essere in ogni singolo caso effettive, proporzionate e dissuasive.

Inoltre, possono essere comminate, in funzione delle circostanze di ogni singolo caso, o in

aggiunta alle misure decise dall’Autorità nell’esercizio dei poteri che abbiamo analizzato

oppure in luogo di tali misure.

L’Autorità – nel decidere l’importo della sanzione in concreto applicabile, deve tenere conto di

tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e

durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per

assicurare la conformità agli obblighi derivanti dal GDPR e prevenire o attenuare le

conseguenze della violazione.

L’apparato sanzionatorio del GDPR: le sanzioni amministrative.

22


PECUNIARIE

Se le sanzioni amministrative sono inflitte a imprese, va considerata la seguente

definizione: “la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita,

che eserciti un'attività economica, comprendente le società di persone o le associazioni che

esercitano regolarmente un'attività economica”.

Se le sanzioni amministrative sono inflitte a persone che non sono imprese, l'autorità di

controllo deve tenere conto del livello generale di reddito nello Stato membro come pure

della situazione economica della persona nel valutare l'importo appropriato della sanzione

pecuniaria.

In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta

costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un

ammonimento anziché imposta una sanzione pecuniaria.

Gli Stati membri possono determinare se e in che misura le autorità pubbliche debbano

essere soggette a sanzioni amministrative pecuniarie.


23


PECUNIARIE

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare

l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti specifici

elementi:

a)la natura, la gravità e la durata della violazione tenendo in considerazione la natura,

l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal

danno e il livello del danno da essi subito;

b)il carattere doloso o colposo della violazione; tra le circostanze indicanti il carattere

doloso di una violazione figura il trattamento illecito autorizzato esplicitamente dall’alta

dirigenza del titolare del trattamento oppure effettuato nonostante i pareri del responsabile

della protezione dei dati o ignorando le politiche esistenti, ad esempio ottenendo e trattando

dati relativi ai dipendenti di un concorrente con l’intento di screditare tale concorrente sul

mercato. Altri esempi sono ad esempio lo scambio di dati personali con finalità di marketing,

ossia vendita di dati come “approvati” senza verificare/ignorando il parere degli interessati

circa le modalità di utilizzo dei propri dati.


24


PECUNIARIE

Quanto al carattere colposo, esempi sono: mancata lettura e non rispetto delle politiche

esistenti, errore umano, mancata verifica dei dati personali nelle informazioni pubblicate,

incapacità di apportare aggiornamenti tecnici in maniera puntuale, mancata adozione delle

politiche (piuttosto che la semplice mancata applicazione): tali casi esemplificativi possono

essere sintomo di negligenza.

Dal momento che i titolari del trattamento sono sempre responsabili dell’adozione di

strutture e risorse idonee alla natura e alla complessità della propria attività, essi non

possono legittimare violazioni della normativa sulla protezione dei dati appellandosi a

una carenza di risorse.

In ogni caso, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del

trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del

presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non

supera l'importo specificato per la violazione più grave.


25


PECUNIARIE

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per

attenuare il danno subito dagli interessati;

Tale comportamento responsabile (o la sua assenza) sarà preso in considerazione

dall’autorità di controllo nella scelta della o delle misure correttive e nel calcolo della sanzione

da imporre nel caso specifico

Le Linee Guida dei garanti UE sulla determinazione delle sanzioni prescrivono che può

essere opportuno mostrare un certo livello di flessibilità nei confronti di quei

titolari/responsabili del trattamento che hanno ammesso la violazione e che si sono

assunti la responsabilità di correggere o limitare l’impatto delle loro azioni. Alcuni

esempi potrebbero essere i seguenti (anche se non porterebbero in tutti i casi a un approccio

più flessibile):

- aver contattato altri titolari/responsabili del trattamento che potrebbero essere stati

coinvolti in un’estensione del trattamento, ad esempio nel caso in cui alcuni dati sono stati

erroneamente condivisi con terze parti;

-azione tempestiva adottata dal titolare/responsabile del trattamento per impedire la

prosecuzione o l’espansione della violazione a un livello o a una fase che avrebbe

determinato ripercussioni ben più gravi.


26


PECUNIARIE

d) il grado di responsabilità del titolare del trattamento o del responsabile del

trattamento tenendo conto delle misure tecniche e organizzative

1.Il titolare del trattamento ha attuato misure tecniche che seguono i principi della protezione

dei dati fin dalla progettazione o per impostazione predefinita (articolo 25)?

2.Il titolare del trattamento ha attuato misure organizzative che attuano i principi della

protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25) a tutti i

livelli dell’organizzazione?

3.Il titolare/responsabile del trattamento ha messo in atto un livello di sicurezza adeguato

(articolo 32)?

4.Le prassi/politiche pertinenti in materia di protezione dei dati sono conosciute e applicate al

livello adeguato di gestione dell’organizzazione? (articolo 24).


27


PECUNIARIE

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o

dal responsabile del trattamento;

L’autorità di controllo dovrebbe valutare quanto segue:

1.Il titolare/responsabile del trattamento ha già commesso la stessa violazione in

precedenza?

2.Il titolare/responsabile del trattamento ha commesso una violazione del regolamento

secondo le stesse modalità? (ad esempio a causa di una conoscenza insufficiente delle

prassi esistenti nell’organizzazione, oppure in seguito a una valutazione del rischio

inadeguata, non rispondendo alle richieste dell’interessato in maniera tempestiva o per un

ritardo ingiustificato nel rispondere alle richieste, ecc.).


28


PECUNIARIE

f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla

violazione e attenuarne i possibili effetti negativi;

Un caso in cui la collaborazione con l’autorità di controllo potrebbe essere presa in debita

considerazione è il seguente: l’entità ha risposto in modo particolare alle richieste dell’autorità

di controllo durante la fase di indagine nel caso specifico limitando in tal modo in maniera

significativa le ripercussioni sulle persone?

Detto ciò, non è opportuno tenere ulteriormente conto della collaborazione già

prevista per legge: ad esempio, l’entità è in ogni caso tenuta a consentire all’autorità

di controllo di accedere ai locali per controlli/ispezioni.


29


PECUNIARIE

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, in

particolare se e in che misura il titolare del trattamento o il responsabile del

trattamento ha notificato la violazione;

L’autorità di controllo potrebbe venire a conoscenza della violazione in seguito a indagini,

reclami, articoli di giornale, suggerimenti anonimi oppure notifiche da parte del titolare del

trattamento. Il titolare del trattamento ha l’obbligo a norma del regolamento di notificare

all’autorità di controllo eventuali violazioni dei dati personali. Qualora il titolare del trattamento

si limiti ad adempiere a tale obbligo, la conformità ad esso non può essere interpretata come

fattore attenuante/mitigante. Analogamente, qualora il titolare/responsabile del trattamento

abbia agito incautamente senza notificare la violazione, o perlomeno senza notificarne tutti i

dettagli, in quanto non in grado di valutarne adeguatamente la portata, l’autorità di controllo

potrebbe ritenere necessaria l’imposizione di una sanzione più grave, il che significa che

risulterà improbabile la classificazione quale violazione minore.


30


PECUNIARIE

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58,

paragrafo 2, nei confronti del titolare del trattamento o del responsabile del

trattamento in questione relativamente allo stesso oggetto, il rispetto di tali

provvedimenti;

Il titolare del trattamento o il responsabile del trattamento potrebbe già essere nel mirino

dell’autorità di controllo per la verifica della conformità in seguito a una precedente

violazione. In tal caso gli eventuali precedenti contatti con il responsabile della protezione dei

dati saranno stati verosimilmente numerosi e l’autorità di controllo li terrà in considerazione.

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di

certificazione approvati ai sensi dell’articolo 42;

Qualora il titolare del trattamento o il responsabile del trattamento abbia aderito a un codice

di condotta approvato, l’autorità di controllo potrebbe ritenere sufficiente che la comunità

incaricata di gestire il codice intervenga adeguatamente in prima persona nei confronti del

proprio membro, ad esempio tramite i regimi di monitoraggio e applicazione del codice di

condotta stesso. Pertanto, l’autorità di controllo potrebbe ritenere che tali misure siano

sufficientemente effettive, proporzionate e dissuasive in quel particolare caso senza che

l’autorità di controllo stessa debba imporre misure aggiuntive.


31


PECUNIARIE

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad

esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o

indirettamente, quale conseguenza della violazione.

La disposizione stessa fornisce esempi di quali altri elementi potrebbero essere presi in

considerazione nel decidere l’appropriatezza di una sanzione amministrativa pecuniaria per

una violazione.

Le informazioni relative ai profitti derivanti da una violazione potrebbero risultare

particolarmente importanti per le autorità di controllo in quanto il guadagno economico

derivante dalla violazione non può essere compensato tramite misure che non abbiano una

componente pecuniaria. Pertanto, il fatto che il titolare del trattamento abbia tratto profitto

dalla violazione del regolamento può costituire una chiara indicazione della necessità di

imporre una sanzione pecuniaria.


32

L’ARTICOLO 34 DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO E LA

DEFINIZIONE AGEVOLATA DELLE SANZIONI AMMINISTRATIVE

5. Nell’adozione dei provvedimenti sanzionatori di cui al comma 1 si osservano, in quanto

applicabili, gli articoli da 1 a 9 e da 18 a 28 della legge 24 novembre 1981, n. 689. I

proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono

riassegnati al fondo di cui all’articolo 19, comma 10. Alle violazioni delle regole deontologiche

di cui all’articolo 5, delle misure di garanzia e dei provvedimenti generali di cui agli articoli 8,

15 e 58 si applicano le sanzioni di cui all’articolo 83 del Regolamento, avendo riguardo ai

corrispondenti ambiti di violazione. La disposizione di cui al periodo precedente si applica

anche alle violazioni delle disposizioni di cui alla Parte IV, nonché alle violazioni di cui

all’articolo 1, commi 9 e 10, della legge 11 gennaio 2018, n. 5.

6. Entro il termine previsto per la proposizione del ricorso il trasgressore e gli

obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del

Garante e mediante il pagamento di un importo pari alla metà della sanzione irrogata.

7. Nel rispetto dell’articolo 58, paragrafo 4, del Regolamento, con proprio regolamento

pubblicato nella Gazzetta Ufficiale della Repubblica Italiana, il Garante definisce le modalità

del procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 1 ed i

relativi termini.


33

L’ARTICOLO 34 DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO E LA

DEFINIZIONE AGEVOLATA DELLE SANZIONI AMMINISTRATIVE

E’ dunque inapplicabile l’art. 16 della L. 689/1981:

(Pagamento in misura ridotta)

E’ ammesso il pagamento di una somma in misura ridotta pari alla terza parte del massimo

della sanzione prevista per la violazione commessa o, se più favorevole, al doppio del

minimo della sanzione edittale, oltre alle spese del procedimento, entro il termine di sessanta

giorni dalla contestazione immediata o, se questa non vi è stata, dalla notificazione degli

estremi della violazione.



del GDPR: quale prospettiva

per le sanzioni penali.

35


DEL TRATTAMENTO: LE SANZIONI PENALI NELLO SCHEMA DI DECRETO

LEGISLATIVO ITALIANO

Art. 35

(Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o

dell’esercizio dei poteri del Garante)

1. Salvo che il fatto costituisca più grave reato, chiunque, in comunicazioni, atti, documenti

o dichiarazioni resi o esibiti in un procedimento o nel corso di accertamenti dinanzi al

Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi,

è punito con la reclusione da sei mesi a tre anni.

2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque

intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al

Garante o degli accertamenti dallo stesso svolti.


36




Art. 100

(Applicabilità delle sanzioni amministrative alle violazioni anteriormente commesse)

1. Le disposizioni del presente decreto che, mediante abrogazione, sostituiscono sanzioni

penali con le sanzioni amministrative previste dal Regolamento si applicano anche alle

violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre

che il procedimento penale non sia stato definito con sentenza o con decreto divenuti

irrevocabili.

2. Se i procedimenti penali per i reati depenalizzati dal presente decreto sono stati definiti,

prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice

dell'esecuzione revoca la sentenza o il decreto, dichiarando che il fatto non è previsto dalla

legge come reato e adotta i provvedimenti conseguenti.


37




Art. 101

(Trasmissione degli atti all'autorità amministrativa)

4. L'autorità amministrativa notifica gli estremi della violazione agli interessati residenti nel

territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all'estero entro

il termine di trecentosettanta giorni dalla ricezione degli atti.

5. Entro sessanta giorni dalla notificazione degli estremi della violazione l'interessato è

ammesso al pagamento in misura ridotta, pari alla metà della sanzione, oltre alle spese del

procedimento. Si applicano, in quanto compatibili, le disposizioni di cui all'articolo 16 della

legge 24 novembre 1981, n. 689.

6. Il pagamento determina l'estinzione del procedimento.


6. Linee Guida; Autorizzazioni

e Provvedimenti Generali del

Garante: compatibilità e

permanenza in vigore dopo

l’entrata in vigore del GDPR.

39

PROVVEDIMENTI, LINEE GUIDA E AUTORIZZAZIONI GENERALI DEL GARANTE: LE

PREVISIONI DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO

Art. 97

(Autorizzazioni generali del Garante)

1. Il Garante, con provvedimento di carattere generale da adottarsi entro novanta giorni dalla data di entrata in vigore del

presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate relative alle situazioni di

trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, nonché al capo IX del Regolamento, che

risultano compatibili con le disposizioni del medesimo Regolamento e del presente decreto e, ove occorra, provvede al loro

aggiornamento. Il provvedimento di cui al presente comma è adottato all’esito di procedimento di consultazione pubblica.

2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che siano state ritenute incompatibili con le

disposizioni del Regolamento richiamate al medesimo comma ovvero in relazione alle quali non sia stato adottato il

provvedimento di cui allo stesso comma cessano di produrre effetti il novantesimo giorno successivo alla data di entrata in

vigore del presente decreto.

3. Le autorizzazioni generali del Garante adottate prima della data di entrata in vigore del presente decreto e relative a

situazione di trattamento diverse da quelle indicate al comma 1 cessano di produrre effetti alla predetta data.

4. Le autorizzazioni generali di cui al comma 1 perdono efficacia con l’adozione delle corrispondenti disposizioni delle

regole deontologiche e delle misure di garanzia di cui agli articoli 5 e 8 del presente decreto.

5. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 5 e 8 del presente decreto

producono effetti, in quanto compatibili e per la corrispondente categoria di trattamenti, le autorizzazioni generali di cui al

comma 1.

GDPR e precedenti provvedimenti del Garante privacy italiano.

40



Art. 8

(Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute)

1. In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del Regolamento, i dati genetici, biometrici e relativi alla

salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo

(“il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o

dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”) ed in conformità alle misure di

garanzia disposte dal Garante nel rispetto di quanto previsto dal presente articolo.

2. Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale.

5. Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali di cui al comma 1, avendo

riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di

tali dati è consentito.

6. Le misure di garanzia relative ai dati genetici possono individuare, in caso di particolare ed elevato livello di rischio, il

consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del

Regolamento, o altre cautele specifiche.

7. I dati personali di cui al comma 1 non possono essere diffusi.


41



Art. 98, commi 5 e 13

5. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati

personali devono essere interpretati ai sensi del Regolamento e si continuano ad

applicare ove compatibili con il Regolamento medesimo e con le disposizioni del

presente decreto legislativo.

13. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese,

come definite dalla raccomandazione 2003/361/CE, il Garante, nel rispetto delle

disposizioni del Regolamento e del presente decreto, promuove, nelle linee guida

adottate a norma dell’articolo 21 (“linee guida riguardanti le misure organizzative e

tecniche di attuazione dei principi del Regolamento, anche per singoli settori”), modalità

semplificate di adempimento degli obblighi del titolare del trattamento.


Per approfondimenti:

Avv. Alessandro del Ninno – Email: [email protected]

mailto:[email protected]

Privacy in azienda. Le novità del GDPR ewebtv.confindustria.vicenza.it/importedfiles/Del Ninno...

Documents

Transcript of Privacy in azienda. Le novità del GDPR ewebtv.confindustria.vicenza.it/importedfiles/Del Ninno...