Privacy in azienda. Le novità del GDPR ewebtv.confindustria.vicenza.it/importedfiles/Del Ninno...
Transcript of Privacy in azienda. Le novità del GDPR ewebtv.confindustria.vicenza.it/importedfiles/Del Ninno...
Privacy in azienda. Le novità del GDPR e
l’impatto sulle aziende. Il quadro aggiornato
degli adempimenti aziendali.
Convegno Confindustria Vicenza – 4 Maggio 2018.
1. Aggiornamenti del quadro
interpretativo del RGPD.
3
LE LINEE GUIDA INTERPRETATIVE DEL GDPR
Linee-guida sui responsabili della protezione dei dati (RPD) WP243 del 13 dicembre
2016 (emendate il 5.4.2017)
Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i
criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del
Regolamento 2016/679 WP248 del 5.4.2017 (emendate il 4.10.2017)
Linee-guida sulla applicazione e sulla definizione delle sanzioni amministrative ai sensi
del Regolamento 2016/679 – WP 253 del 3 Ottobre 2017
Linee-guida sul diritto alla portabilità dei dati personali WP242 del 13 dicembre 2016
(emendate il 5.4.2017)
Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno
specifico titolare o responsabile del trattamento WP244 del 13.12.2016 (emendate il
5.4.2017)
Linee-guida sui processi decisionali individuali automatizzati e sulla profilazione ai
sensi del Regolamento 2016/679 – WP 251 del 3 Ottobre 2017
Linee-guida sulla notificazione delle violazioni di dati personali (“data breach”) - WP 250
del 3 Ottobre 2017
1. Aggiornamenti del quadro interpretativo del RGPD.
4
LE LINEE GUIDA INTERPRETATIVE DEL GDPR
Linee-guida sulla trasparenza (RPD) WP260
Linee-guida sul consenso (RPD) WP259
Linee-guida sull’accreditamento degli enti di certificazione (RPD) WP261
1. Aggiornamenti del quadro interpretativo del RGPD.
5
L’ATTUAZIONE DELL’ART. 30 COMMA 5 DEL RGPD SUL REGISTRO DEI TRATTAMENTI
Art. 30, comma 5 RGPD
Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno
di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio
per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il
trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali
relativi a condanne penali e a reati di cui all'articolo 10.
Con il Documento di Lavoro dell’11 Aprile 2018 i Garanti UE hanno chiarito che le
imprese con meno di 250 dipendenti che effettuano trattamenti che ricadono in uno dei
tre casi alternativi hanno l’obbligo di tenuta del Registro dei trattamenti, sia pure con
riferimento limitato ai soli trattamenti per cui l’esenzione non si applica.
“For example, a small organisation is likely to regularly process data regarding its employees.
As a result, such processing cannot be considered “occasional” and must therefore be
included in the record of processing activities. Other processing activities which are in fact
“occasional”, however, do not need to be included in the record of processing activities,
provided they are unlikely to result in a risk to the right and freedoms of data subjects and do
not involve special categories of data or personal data relating to criminal convictions and
offences”.
1. Aggiornamenti del quadro interpretativo del RGPD.
6
ELENCHI DI TRATTAMENTI AI FINI DELLO SVOLGIMENTO DELLA VALUTAZIONE DI
IMPATTO PREVENTIVA - DPIA
Art. 35, commi 3 e 4 RGPD
4. L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti
soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del
paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.
5. L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di
trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati.
L'autorità di controllo comunica tali elenchi al comitato.
L’autorità privacy polacca e quella belga hanno già emanato tali liste, che possono
essere prese come valido riferimento.
1. Aggiornamenti del quadro interpretativo del RGPD.
7
ELENCHI DI TRATTAMENTI AI FINI DELLO SVOLGIMENTO DELLA VALUTAZIONE DI
IMPATTO PREVENTIVA - DPIA
Esempi di trattamenti specifici soggetti ad obbligo di PIA:
Profilazione della clientela con strumenti automatizzati; sistemi e tool usati dal Dipartimento
IT per monitorare il tempo lavorativo dei dipendenti; sistemi di registrazione della presenza
del lavoratore basati sul trattamento di dati biometrici; centralizzazione della gestione HR
presso holding o providers non stabiliti nella UE; dati biometrici trattati per garantire accesso
ad aree/servizi specifici (es: banche;); accessi ZTL; videosorveglianza pubblica;
geolocalizzazione per bike e car sharing; applicazioni installate su device mobili (I.o.T.);
veicoli dotati di sistemi di analisi delle abitudini di guida; programmi di fidelizzazione e loyalty
che contengono elementi/trattamenti di profilazione; portali IT e/o servizi cloud per il
management di documenti personali ed email; servizi dei social media; incrocio di dati da
pubblici registri a scopi marketing; servizi di selezione avanzata del personale (incontro
domanda offerta di lavoro basato su preferenze); sistemi e contatori di consumo da remoto;
giocattoli interattivi; utilizzo di cloud services con server ubicati al di fuori della UE; gestioone
dei dati in centrali-rischi private; trattamenti pre-contrattuali volti a verificare tramite la
consultazione di database di informazioni commerciali la affidabilità.
1. Aggiornamenti del quadro interpretativo del RGPD.
8
ELENCHI DI TRATTAMENTI AI FINI DELLO SVOLGIMENTO DELLA VALUTAZIONE DI
IMPATTO PREVENTIVA - DPIA
Esempi di trattamenti specifici NON soggetti ad obbligo di PIA:
Trattamenti svolti da titolari privati in adempimento di un obbligo di legge, purchè la legge
individui le finalità del trattamento, le tipologie di dati personali e le garanzie per gli
interessati; trattamenti esclusivamente finalizzati alla gestione della retribuzione dei
lavoratori; trattamenti di dati personali solo comuni relativi alla gestione del personale;
trattamenti dei dati personali di soci; trattamenti svolti da enti a caratteri non lucrativo di utilità
sociale; trattamenti di dati personali effettuati nell’ambito del controllo degli accessi dei
visitatori (registri visitatori).
1. Aggiornamenti del quadro interpretativo del RGPD.
2. Le modalità pratiche di resa
della Informativa privacy: le
indicazioni delle Linee Guida
sulla Trasparenza
10
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
1. se on line, l’informativa deve essere sempre “layered” cioè multistrato, con link e
sezioni autonomamente navigabili (e il primo livello dedicato alle informazioni più
rilevanti, con la indicazione complessiva delle conseguenze e dell’impatto sulla sfera
privacy dell’interessato), onde evitare quello che viene chiamato “l’affaticamento
informativo”;
2. come sviluppo della informativa multistrato, la trasparenza come principio da
documentare può essere ottenuta anche mettendo a disposizione “privacy dashboard” in
cui l’utente, in una area riservata, può gestire le proprie impostazioni privacy e le
preferenze avverso il titolare del trattamento;
3. altra modalità trasparente di resa dell’informativa è quelle “just in time” come ad esempio
indicare accanto ad un campo di un format on line (es: numero di telefono) le informazioni
ad hoc (“il numero sarà utilizzato per gestire la consegna del prodotto e sarà comunicato
al corriere”);
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
11
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
4. il link alla Informativa deve essere presente e ben visibile in ogni pagina web del
sito;
5. essendovi per il titolare del trattamento l’obbligo di documentare le “misure appropriate”
atte a garantire la comprensibilità, chiarezza e trasparenza della informativa, i Garanti UE
richiedono che prima di rendere effettivo il rilascio della informativa, sia condotto un
test preventivo al “go live” chiedendo ai potenziali destinatari (anche attraverso
pannelli utente) se l’informativa è per loro comprensibile, trasparente e chiara;
6. l’informativa orale – quando prevista (su richiesta dell’interessato) o resa da device privi
di schermo, va sempre resa con modalità che consentano il riascolto;
7. il link alla pagina web che contiene l’Informativa estesa (es: nelle istruzioni cartacee di un
device privo di schermo che tratta i dati del cliente) deve essere sempre quello
specifico (non un link generico alla home page);
8. il linguaggio non può mai essere generico e per categorie, né ipotetico o futuro (es:
“potremmo trattare i dati per sviluppare nuovi servizi”; “trattiamo i dati per scopi di
ricerca”, “potremmo trattare i dati per personalizzare le sue scelte”);
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
12
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
9. l’informativa privacy sul trattamento di dati personali tramite app deve essere
disponibile per il download fin dalla presentazione dell’app sullo store on line, e va
resa scaricabile prima del download dell’app medesima;
10. in aggiunta agli elementi pure elencati agli articoli 13 e 14, i Garanti UE ritengono
obbligatorio specificare nelle Informative privacy – con un linguaggio che non deve
essere ambiguo o generico - le principali conseguenze del trattamento, in termini delle
principali tipologie di trattamento previste che potrebbero avere un elevato impatto sulla
sfera privacy dell’interessato;
11. se cambiano alcuni aspetti della informativa (es: si aggiunge una categoria di destinatari
della comunicazione, o si aggiunge un Paese extra UE come trasferimento all’estero
prima non previsto), il RGPD non dà indicazione sui tempi entro i quali all’interessato
deve essere comunicato il cambiamento (diverso dalla introduzione di nuove finalità non
originariamente non previste, che deve precedere l’inizio del trattamento), né vi sono
indicazioni sulle modalità con le quali informare l’interessato. Il WP indica che la
comunicazione avvenga con congruo anticipo rispetto alla effettività del cambiamento, in
modo da dare possibilità all’interessato di reagire (es: revocando il consenso); inoltre, in
aderenza al principio di trasparenza, non va comunicato all’interessato solo il
cambiamento in quanto tale delle informazioni, ma altresì quali sono le conseguenze e
l’impatto sulla sfera privacy dei cambiamenti oggetto della comunicazione;
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
13
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
12. soprattutto nei casi in cui un trattamento è in corso da parecchio tempo (es: l’interessato usa
continuativamente un servizio ed è trascorso molto tempo da quando ha letto originariamente
l’informativa) il WP richiede che ad intervalli di tempo regolari il titolare del trattamento richiami
l’attenzione degli interessati sulla importanza di andarsi a rileggere l’informativa;
13. gli stessi obblighi si applicano, infine, a tutte le modifiche susseguenti al rilascio ella originaria
informativa: vanno comunicate le sole modifiche in comunicazioni che siano notate dai
destinatari (es: via email one-to-one o via lettera cartacea che evidenzi le sole modifiche alla
originaria informativa) con divieto di includere la comunicazione in altre (es: direct marketing).
E’ vietato ribaltare sul destinatario l’obbligo di andarsi a vedere periodicamente eventuali
aggiornamenti o modifiche alla informativa;
14. La obbligatoria indicazione dei “destinatari” dei dati personali (cioè i soggetti e le entità che
ricevono in comunicazione i dati) copre ai sensi del GDPR sia i terzi esterni che i soggetti
interni alla struttura del Titolare del trattamento: le ipotesi di comunicazione dei dati dovranno
menzionare cioè anche eventuali responsabili interni, responsabili esterni, contitolari del
trattamento, (tutti da indicare nominativamente) come “destinatari” dei dati; ove il Titolare
scelga di indicare per categorie i destinatari dei dati, egli deve giustificare perché ritiene tale
approccio corretto e in ogni caso il riferimento alla categoria non deve essere generico ma
specifico, facendo riferimento alle attività svolte, al settore, alla industria, e alla ubicazione
territoriale dei destinatari individuati per categoria;
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
14
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
15. In caso vi sia trasferimento dei dati al di fuori dell’Unione Europea, vanno specificasti
nell’informativa gli specifici articoli che disciplinano i diversi presupposti di un
lecito trasferimento (es: decisioni di adeguatezza del Paese terzo ai sensi dell’art. 45
GDPR, oppure norme vincolanti di impresa ai sensi dell’art. 47, etc). Ove possibile, un
link al meccanismo utilizzato o alle informazioni rilevanti sul trasferimento oppure la
specifica informazione su dove può essere ottenuta la relativa documentazione da parte
del titolare, va indicato. Infine, in accordo al principio di correttezza, vanno specificati
nominativamente tutti i Paese terzi extra UE destinatari dei dati, pubblicando la
relativa lista;
16. Con riferimento alla informazione relativa al periodo di conservazione dei dati o al
meccanismo/criterio utile per determinare tale periodo, tale obbligo è legato al requisito
della minimizzazione dei dati (principio di necessità). Si può fare riferimento a termini di
legge, o a prassi nel settore industriale ove opera il titolare, ma in ogni caso l’interessato
deve essere messo in grado di valutare quale sarà il periodo di conservazione dei dati
per ciascuna finalità. E’ insufficiente e vietato per il Titolare affermare genericamente che i
dati saranno conservati per tutto il tempo necessario a perseguire le finalità del
trattamento. Ove rilevante, dovrebbero essere indicati periodi di conservazione diversi
per differenti categorie di dati personali e/o per differenti finalità del trattamento, incluso –
ove appropriato – l’indicazione del periodo a partire dal quale i dati vengono archiviati.
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
15
LE LINEE GUIDA SULLA TRASPARENZA: STRUTTURA E CONTENUTI PRATICI DELLA
NUOVA INFORMATIVA PRIVACY
17. Nella indicazione dei diritti dell’interessato va specificato un sommario/sintesi del
diritto in questione e attraverso quali passi l’interessato può esercitarlo;
particolare attenzione va posta sulla portabilità del dato ai sensi delle relative linee
guida. Nel fornire le informazioni necessarie, i titolari devono aver cura di distinguere il
diritto alla portabilità da altri diritti. Infine, il Gruppo “Articolo 29” raccomanda ai titolari
“riceventi” di fornire agli interessati un’informativa completa sulla natura dei dati personali
pertinenti ai fini della prestazione del rispettivo servizio. Oltre a costituire il fondamento
della correttezza del trattamento, ciò permetterà agli utenti di ridurre i rischi per i terzi
interessati e di evitare inutili duplicazioni di dati personali anche ove non siano coinvolti
altri interessati;
18. Ove il trattamento sia basato sul consenso, il diritto di revocarlo in ogni momento deve
essere accompagnato nella informativa dalla spiegazione sule (facili) modalità con le
quali la revoca può essere comunicata ed esercitata;
19. L’informazione sul diritto di proporre reclamo all’Autorità di controllo deve essere
accompagnato, ai sensi dell’art. 77 del GDPR, dalla informazione che l’Autorità di
controllo competente è quella del luogo abituale di residenza o di domicilio di chi contesta
la violazione del GDPR.
2. Le Linee Guida sulla trasparenza e le modalità di resa della Informativa privacy.
3. L’apparato sanzionatorio
del GDPR: le sanzioni
civilistiche.
17
L’APPARATO SANZIONATORIO DEL GDPR: IL RISARCIMENTO DEL DANNO DA
TRATTAMENTO DEI DATI PERSONALI
Qual è la ripartizione delle responsabilità tra titolare e responsabile del trattamento in caso
di richieste civilistiche di risarcimento o sanzioni applicate?
Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il
diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del
trattamento.
Il titolare del trattamento risponde per il danno cagionato da un suo trattamento.
Il responsabile del trattamento risponde per il danno causato dal trattamento solo se:
a) non ha adempiuto gli obblighi GDPR specificatamente diretti ai responsabili del trattamento;
b) ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Tanto il titolare che il responsabile hanno comunque la possibilità esimente della responsabilità in
caso possano dimostrare che l'evento dannoso non è in alcun modo loro imputabile.
L’apparato sanzionatorio del GDPR: le sanzioni civilistiche.
18
L’APPARATO SANZIONATORIO APPLICABILE AL TITOLARE O AL RESPONSABILE
DEL TRATTAMENTO
Responsabilità solidale e regresso.
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare
del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e
siano responsabili dell'eventuale danno causato dal trattamento, ogni titolare del
trattamento o responsabile del trattamento è responsabile in solido per l'intero
ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.
Qualora il titolare del trattamento o il responsabile del trattamento abbia pagato l'intero
risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il
diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti
nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di
responsabilità per il danno.
L’apparato sanzionatorio applicabile al titolare e al responsabile del trattamento.
19
IL RUOLO DELL’ASSOCIAZIONISMO: UNA CLASS ACTION PRIVACY?
Considerando 142:
Qualora l'interessato ritenga che siano stati violati i diritti di cui gode a norma del presente
regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un'organizzazione
o un'associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno
Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore
della protezione dei dati personali, per proporre reclamo per suo conto a un'autorità di
controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o
esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se
quest'ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono
prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre
reclamo in tale Stato membro, indipendentemente dall'eventuale mandato
dell'interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia
motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un
trattamento dei dati personali che violi il presente regolamento. Tale organismo,
organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del
danno per conto di un interessato indipendentemente dal mandato dell'interessato.
L’apparato sanzionatorio del GDPR: sanzioni civilistiche.
4. L’apparato sanzionatorio
del GDPR: i criteri di
determinazione in concreto
delle sanzioni amministrative
pecuniarie.
21
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
IL GDPR prevede le condizioni generali per infliggere sanzioni amministrative pecuniarie (art.
83).
Come principio generale, le sanzioni amministrative pecuniarie inflitte per violazione del
GDPR devono essere in ogni singolo caso effettive, proporzionate e dissuasive.
Inoltre, possono essere comminate, in funzione delle circostanze di ogni singolo caso, o in
aggiunta alle misure decise dall’Autorità nell’esercizio dei poteri che abbiamo analizzato
oppure in luogo di tali misure.
L’Autorità – nel decidere l’importo della sanzione in concreto applicabile, deve tenere conto di
tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e
durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per
assicurare la conformità agli obblighi derivanti dal GDPR e prevenire o attenuare le
conseguenze della violazione.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
22
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
Se le sanzioni amministrative sono inflitte a imprese, va considerata la seguente
definizione: “la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita,
che eserciti un'attività economica, comprendente le società di persone o le associazioni che
esercitano regolarmente un'attività economica”.
Se le sanzioni amministrative sono inflitte a persone che non sono imprese, l'autorità di
controllo deve tenere conto del livello generale di reddito nello Stato membro come pure
della situazione economica della persona nel valutare l'importo appropriato della sanzione
pecuniaria.
In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta
costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un
ammonimento anziché imposta una sanzione pecuniaria.
Gli Stati membri possono determinare se e in che misura le autorità pubbliche debbano
essere soggette a sanzioni amministrative pecuniarie.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
23
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare
l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti specifici
elementi:
a)la natura, la gravità e la durata della violazione tenendo in considerazione la natura,
l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal
danno e il livello del danno da essi subito;
b)il carattere doloso o colposo della violazione; tra le circostanze indicanti il carattere
doloso di una violazione figura il trattamento illecito autorizzato esplicitamente dall’alta
dirigenza del titolare del trattamento oppure effettuato nonostante i pareri del responsabile
della protezione dei dati o ignorando le politiche esistenti, ad esempio ottenendo e trattando
dati relativi ai dipendenti di un concorrente con l’intento di screditare tale concorrente sul
mercato. Altri esempi sono ad esempio lo scambio di dati personali con finalità di marketing,
ossia vendita di dati come “approvati” senza verificare/ignorando il parere degli interessati
circa le modalità di utilizzo dei propri dati.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
24
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
Quanto al carattere colposo, esempi sono: mancata lettura e non rispetto delle politiche
esistenti, errore umano, mancata verifica dei dati personali nelle informazioni pubblicate,
incapacità di apportare aggiornamenti tecnici in maniera puntuale, mancata adozione delle
politiche (piuttosto che la semplice mancata applicazione): tali casi esemplificativi possono
essere sintomo di negligenza.
Dal momento che i titolari del trattamento sono sempre responsabili dell’adozione di
strutture e risorse idonee alla natura e alla complessità della propria attività, essi non
possono legittimare violazioni della normativa sulla protezione dei dati appellandosi a
una carenza di risorse.
In ogni caso, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del
trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del
presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non
supera l'importo specificato per la violazione più grave.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
25
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per
attenuare il danno subito dagli interessati;
Tale comportamento responsabile (o la sua assenza) sarà preso in considerazione
dall’autorità di controllo nella scelta della o delle misure correttive e nel calcolo della sanzione
da imporre nel caso specifico
Le Linee Guida dei garanti UE sulla determinazione delle sanzioni prescrivono che può
essere opportuno mostrare un certo livello di flessibilità nei confronti di quei
titolari/responsabili del trattamento che hanno ammesso la violazione e che si sono
assunti la responsabilità di correggere o limitare l’impatto delle loro azioni. Alcuni
esempi potrebbero essere i seguenti (anche se non porterebbero in tutti i casi a un approccio
più flessibile):
- aver contattato altri titolari/responsabili del trattamento che potrebbero essere stati
coinvolti in un’estensione del trattamento, ad esempio nel caso in cui alcuni dati sono stati
erroneamente condivisi con terze parti;
-azione tempestiva adottata dal titolare/responsabile del trattamento per impedire la
prosecuzione o l’espansione della violazione a un livello o a una fase che avrebbe
determinato ripercussioni ben più gravi.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
26
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
d) il grado di responsabilità del titolare del trattamento o del responsabile del
trattamento tenendo conto delle misure tecniche e organizzative
1.Il titolare del trattamento ha attuato misure tecniche che seguono i principi della protezione
dei dati fin dalla progettazione o per impostazione predefinita (articolo 25)?
2.Il titolare del trattamento ha attuato misure organizzative che attuano i principi della
protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25) a tutti i
livelli dell’organizzazione?
3.Il titolare/responsabile del trattamento ha messo in atto un livello di sicurezza adeguato
(articolo 32)?
4.Le prassi/politiche pertinenti in materia di protezione dei dati sono conosciute e applicate al
livello adeguato di gestione dell’organizzazione? (articolo 24).
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
27
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o
dal responsabile del trattamento;
L’autorità di controllo dovrebbe valutare quanto segue:
1.Il titolare/responsabile del trattamento ha già commesso la stessa violazione in
precedenza?
2.Il titolare/responsabile del trattamento ha commesso una violazione del regolamento
secondo le stesse modalità? (ad esempio a causa di una conoscenza insufficiente delle
prassi esistenti nell’organizzazione, oppure in seguito a una valutazione del rischio
inadeguata, non rispondendo alle richieste dell’interessato in maniera tempestiva o per un
ritardo ingiustificato nel rispondere alle richieste, ecc.).
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
28
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla
violazione e attenuarne i possibili effetti negativi;
Un caso in cui la collaborazione con l’autorità di controllo potrebbe essere presa in debita
considerazione è il seguente: l’entità ha risposto in modo particolare alle richieste dell’autorità
di controllo durante la fase di indagine nel caso specifico limitando in tal modo in maniera
significativa le ripercussioni sulle persone?
Detto ciò, non è opportuno tenere ulteriormente conto della collaborazione già
prevista per legge: ad esempio, l’entità è in ogni caso tenuta a consentire all’autorità
di controllo di accedere ai locali per controlli/ispezioni.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
29
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, in
particolare se e in che misura il titolare del trattamento o il responsabile del
trattamento ha notificato la violazione;
L’autorità di controllo potrebbe venire a conoscenza della violazione in seguito a indagini,
reclami, articoli di giornale, suggerimenti anonimi oppure notifiche da parte del titolare del
trattamento. Il titolare del trattamento ha l’obbligo a norma del regolamento di notificare
all’autorità di controllo eventuali violazioni dei dati personali. Qualora il titolare del trattamento
si limiti ad adempiere a tale obbligo, la conformità ad esso non può essere interpretata come
fattore attenuante/mitigante. Analogamente, qualora il titolare/responsabile del trattamento
abbia agito incautamente senza notificare la violazione, o perlomeno senza notificarne tutti i
dettagli, in quanto non in grado di valutarne adeguatamente la portata, l’autorità di controllo
potrebbe ritenere necessaria l’imposizione di una sanzione più grave, il che significa che
risulterà improbabile la classificazione quale violazione minore.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
30
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58,
paragrafo 2, nei confronti del titolare del trattamento o del responsabile del
trattamento in questione relativamente allo stesso oggetto, il rispetto di tali
provvedimenti;
Il titolare del trattamento o il responsabile del trattamento potrebbe già essere nel mirino
dell’autorità di controllo per la verifica della conformità in seguito a una precedente
violazione. In tal caso gli eventuali precedenti contatti con il responsabile della protezione dei
dati saranno stati verosimilmente numerosi e l’autorità di controllo li terrà in considerazione.
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di
certificazione approvati ai sensi dell’articolo 42;
Qualora il titolare del trattamento o il responsabile del trattamento abbia aderito a un codice
di condotta approvato, l’autorità di controllo potrebbe ritenere sufficiente che la comunità
incaricata di gestire il codice intervenga adeguatamente in prima persona nei confronti del
proprio membro, ad esempio tramite i regimi di monitoraggio e applicazione del codice di
condotta stesso. Pertanto, l’autorità di controllo potrebbe ritenere che tali misure siano
sufficientemente effettive, proporzionate e dissuasive in quel particolare caso senza che
l’autorità di controllo stessa debba imporre misure aggiuntive.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
31
I CRITERI DI DETERMINAZIONE IN CONCRETO DELLE SANZIONI AMMINISTRATIVE
PECUNIARIE
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad
esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o
indirettamente, quale conseguenza della violazione.
La disposizione stessa fornisce esempi di quali altri elementi potrebbero essere presi in
considerazione nel decidere l’appropriatezza di una sanzione amministrativa pecuniaria per
una violazione.
Le informazioni relative ai profitti derivanti da una violazione potrebbero risultare
particolarmente importanti per le autorità di controllo in quanto il guadagno economico
derivante dalla violazione non può essere compensato tramite misure che non abbiano una
componente pecuniaria. Pertanto, il fatto che il titolare del trattamento abbia tratto profitto
dalla violazione del regolamento può costituire una chiara indicazione della necessità di
imporre una sanzione pecuniaria.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
32
L’ARTICOLO 34 DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO E LA
DEFINIZIONE AGEVOLATA DELLE SANZIONI AMMINISTRATIVE
5. Nell’adozione dei provvedimenti sanzionatori di cui al comma 1 si osservano, in quanto
applicabili, gli articoli da 1 a 9 e da 18 a 28 della legge 24 novembre 1981, n. 689. I
proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono
riassegnati al fondo di cui all’articolo 19, comma 10. Alle violazioni delle regole deontologiche
di cui all’articolo 5, delle misure di garanzia e dei provvedimenti generali di cui agli articoli 8,
15 e 58 si applicano le sanzioni di cui all’articolo 83 del Regolamento, avendo riguardo ai
corrispondenti ambiti di violazione. La disposizione di cui al periodo precedente si applica
anche alle violazioni delle disposizioni di cui alla Parte IV, nonché alle violazioni di cui
all’articolo 1, commi 9 e 10, della legge 11 gennaio 2018, n. 5.
6. Entro il termine previsto per la proposizione del ricorso il trasgressore e gli
obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del
Garante e mediante il pagamento di un importo pari alla metà della sanzione irrogata.
7. Nel rispetto dell’articolo 58, paragrafo 4, del Regolamento, con proprio regolamento
pubblicato nella Gazzetta Ufficiale della Repubblica Italiana, il Garante definisce le modalità
del procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 1 ed i
relativi termini.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
33
L’ARTICOLO 34 DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO E LA
DEFINIZIONE AGEVOLATA DELLE SANZIONI AMMINISTRATIVE
E’ dunque inapplicabile l’art. 16 della L. 689/1981:
(Pagamento in misura ridotta)
E’ ammesso il pagamento di una somma in misura ridotta pari alla terza parte del massimo
della sanzione prevista per la violazione commessa o, se più favorevole, al doppio del
minimo della sanzione edittale, oltre alle spese del procedimento, entro il termine di sessanta
giorni dalla contestazione immediata o, se questa non vi è stata, dalla notificazione degli
estremi della violazione.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
5. L’apparato sanzionatorio
del GDPR: quale prospettiva
per le sanzioni penali.
35
L’APPARATO SANZIONATORIO APPLICABILE AL TITOLARE O AL RESPONSABILE
DEL TRATTAMENTO: LE SANZIONI PENALI NELLO SCHEMA DI DECRETO
LEGISLATIVO ITALIANO
Art. 35
(Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o
dell’esercizio dei poteri del Garante)
1. Salvo che il fatto costituisca più grave reato, chiunque, in comunicazioni, atti, documenti
o dichiarazioni resi o esibiti in un procedimento o nel corso di accertamenti dinanzi al
Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi,
è punito con la reclusione da sei mesi a tre anni.
2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque
intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al
Garante o degli accertamenti dallo stesso svolti.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
36
L’APPARATO SANZIONATORIO APPLICABILE AL TITOLARE O AL RESPONSABILE
DEL TRATTAMENTO: LE SANZIONI PENALI NELLO SCHEMA DI DECRETO
LEGISLATIVO ITALIANO
Art. 100
(Applicabilità delle sanzioni amministrative alle violazioni anteriormente commesse)
1. Le disposizioni del presente decreto che, mediante abrogazione, sostituiscono sanzioni
penali con le sanzioni amministrative previste dal Regolamento si applicano anche alle
violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre
che il procedimento penale non sia stato definito con sentenza o con decreto divenuti
irrevocabili.
2. Se i procedimenti penali per i reati depenalizzati dal presente decreto sono stati definiti,
prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice
dell'esecuzione revoca la sentenza o il decreto, dichiarando che il fatto non è previsto dalla
legge come reato e adotta i provvedimenti conseguenti.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
37
L’APPARATO SANZIONATORIO APPLICABILE AL TITOLARE O AL RESPONSABILE
DEL TRATTAMENTO: LE SANZIONI PENALI NELLO SCHEMA DI DECRETO
LEGISLATIVO ITALIANO
Art. 101
(Trasmissione degli atti all'autorità amministrativa)
4. L'autorità amministrativa notifica gli estremi della violazione agli interessati residenti nel
territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all'estero entro
il termine di trecentosettanta giorni dalla ricezione degli atti.
5. Entro sessanta giorni dalla notificazione degli estremi della violazione l'interessato è
ammesso al pagamento in misura ridotta, pari alla metà della sanzione, oltre alle spese del
procedimento. Si applicano, in quanto compatibili, le disposizioni di cui all'articolo 16 della
legge 24 novembre 1981, n. 689.
6. Il pagamento determina l'estinzione del procedimento.
L’apparato sanzionatorio del GDPR: le sanzioni amministrative.
6. Linee Guida; Autorizzazioni
e Provvedimenti Generali del
Garante: compatibilità e
permanenza in vigore dopo
l’entrata in vigore del GDPR.
39
PROVVEDIMENTI, LINEE GUIDA E AUTORIZZAZIONI GENERALI DEL GARANTE: LE
PREVISIONI DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO
Art. 97
(Autorizzazioni generali del Garante)
1. Il Garante, con provvedimento di carattere generale da adottarsi entro novanta giorni dalla data di entrata in vigore del
presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate relative alle situazioni di
trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, nonché al capo IX del Regolamento, che
risultano compatibili con le disposizioni del medesimo Regolamento e del presente decreto e, ove occorra, provvede al loro
aggiornamento. Il provvedimento di cui al presente comma è adottato all’esito di procedimento di consultazione pubblica.
2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che siano state ritenute incompatibili con le
disposizioni del Regolamento richiamate al medesimo comma ovvero in relazione alle quali non sia stato adottato il
provvedimento di cui allo stesso comma cessano di produrre effetti il novantesimo giorno successivo alla data di entrata in
vigore del presente decreto.
3. Le autorizzazioni generali del Garante adottate prima della data di entrata in vigore del presente decreto e relative a
situazione di trattamento diverse da quelle indicate al comma 1 cessano di produrre effetti alla predetta data.
4. Le autorizzazioni generali di cui al comma 1 perdono efficacia con l’adozione delle corrispondenti disposizioni delle
regole deontologiche e delle misure di garanzia di cui agli articoli 5 e 8 del presente decreto.
5. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 5 e 8 del presente decreto
producono effetti, in quanto compatibili e per la corrispondente categoria di trattamenti, le autorizzazioni generali di cui al
comma 1.
GDPR e precedenti provvedimenti del Garante privacy italiano.
40
PROVVEDIMENTI, LINEE GUIDA E AUTORIZZAZIONI GENERALI DEL GARANTE: LE
PREVISIONI DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO
Art. 8
(Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute)
1. In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del Regolamento, i dati genetici, biometrici e relativi alla
salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo
(“il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o
dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”) ed in conformità alle misure di
garanzia disposte dal Garante nel rispetto di quanto previsto dal presente articolo.
2. Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale.
5. Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali di cui al comma 1, avendo
riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di
tali dati è consentito.
6. Le misure di garanzia relative ai dati genetici possono individuare, in caso di particolare ed elevato livello di rischio, il
consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del
Regolamento, o altre cautele specifiche.
7. I dati personali di cui al comma 1 non possono essere diffusi.
GDPR e precedenti provvedimenti del Garante privacy italiano.
41
PROVVEDIMENTI, LINEE GUIDA E AUTORIZZAZIONI GENERALI DEL GARANTE: LE
PREVISIONI DELLO SCHEMA DI DECRETO LEGISLATIVO ITALIANO
Art. 98, commi 5 e 13
5. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati
personali devono essere interpretati ai sensi del Regolamento e si continuano ad
applicare ove compatibili con il Regolamento medesimo e con le disposizioni del
presente decreto legislativo.
13. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese,
come definite dalla raccomandazione 2003/361/CE, il Garante, nel rispetto delle
disposizioni del Regolamento e del presente decreto, promuove, nelle linee guida
adottate a norma dell’articolo 21 (“linee guida riguardanti le misure organizzative e
tecniche di attuazione dei principi del Regolamento, anche per singoli settori”), modalità
semplificate di adempimento degli obblighi del titolare del trattamento.
GDPR e precedenti provvedimenti del Garante privacy italiano.