Questo è quanto disponeva Il Decreto Legislativo 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), all’art. 22, comma 13.
In realtà si è trattato di una interpretazione che andava oltre le disposizioni citate in quanto sia le norme che i profili sanzionatori sono in vigore da maggio 2018 e non dal 19 maggio 2019.
Ciò comporta che dal 19 maggio 2019 non possiamo più sperare in sconti riguardo le sanzioni amministrative irrogabili. Quindi, per chi non avesse ancora adempiuto agli obblighi previsti dal GDPR, siamo oltre i termini massimi per interrogarsi, e mettere mano, agli adempimenti ai quali si è già adempiuto e quali necessitano di implementazione.
Ricordiamo che le sanzioni previste dal Regolamento n. 679/2016, nei casi più gravi, possono arrivare fino a 20 milioni di euro. Ad ogni modo, quello che dovrebbe far riflettere maggiormente non è solo il rischio d'spezione, quindi l’applicazione delle sanzioni amministrative o penali (ricordiamo il Codice privacy come aggiornato dal D. Lgs. n. 101/2018 prevede anche condotte penalmente rilevanti), quanto la possibilità, questa si concreta, di segnalazioni, reclami o azioni giudiziarie da parte di clienti, dipendenti o terzi delusi da un trattamento o da un comportamento dell’organizzazione; queste azioni avviano contenziosi e potrebbero portare a richieste di risarcimenti.
Concludendo, chi fino ad ora ha ritenuto di poter sottovalutare le disposizioni del GDPR o ha preso tempo per adeguarsi, deve essere consapevole che il tempo è scaduto. Sarebbe veramente opportuno, oltre che vivamente consigliato, intraprendere un percorso di adeguamento e cambiare il modo di gestire i dati nell'ambito dell'organizzazione o azienda.
Ricapitoliamo allora quali sono le sanzioni amministrative, suddivise per i loro massimi, e penali previste.
Fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale.
Sono soggette a tali sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
art. 8 (consenso dei minori),
art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
art. 23 (privacy by design e privacy by default),
art. 24 (contitolarità del trattamento),
art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
art. 26 (Responsabili del trattamento),
art. 27 (istruzioni e autorità del Titolare),
art. 28 (documentazione relativa a ciascun trattamento di dati personali),
art. 29 (cooperazione con l’Autorità di vigilanza),
art. 30 (sicurezza del trattamento),
art. 31 (notificazione dei data breach all’Autorità),
art. 32 (comunicazione dei data breach agli interessati),
art. 33 (DPIA – Data Protection Impact Assessment),
art. 34 (consultazione preventiva dell’Autorità di vigilanza),
artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
art. 39 (compiti del Responsabile della protezione dei dati)
art. 40 (processi di certificazione).
Fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a tali sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
artt. 5 e ss. (principi base del trattamento),
artt. 7 e ss. (condizioni per il consenso),
artt. 12 e ss. (diritti degli interessati),
artt. 44 e ss (trasferimento di dati personali all’estero),
art. 58 (mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza)
Le sanzioni penali sono di competenza di ogni singolo Stato. La situazione italiana è la seguente:
art. 167 del Codice, “Trattamento illecito di dati”
- le violazione riguardanti la materia del trattamento dei dati personali attraverso le comunicazioni elettroniche sono punite con la reclusione da sei mesi a un anno e sei mesi.
- le violazioni che riguardano: a) il trattamento di categorie particolari di dati (artt. 9 e 10 GDPR); b) il trasferimento di dati personali verso un Paese terzo (cioè al di fuori della UE/SEE) o una organizzazione internazionale, sono punite con la reclusione da uno a tre anni.
art. 167 – bis del Codice, “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”
- la comunicazione/diffusione, senza consenso, di un archivio automatizzato o di una parte sostanziale di esso, contenente dati personali, è punita con la reclusione da un anno a sei anni.
art. 167 – ter del Codice, “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”
- chi acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali è punito con la reclusione da un anno e quattro anni.
art. 168 del Codice, “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”
- chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi è punito con la reclusione da sei mesi a tre anni.
- chi cagiona intenzionalmente una interruzione o turba la regolarità di un procedimento dinanzi al garante o degli accertamenti dallo stesso svolti, è punito con la reclusione sino ad un anno.
art. 170 del Codice, “Inosservanza di provvedimenti del Garante”
- chi, essendovi tenuto, non osserva i provvedimenti del Garante è punito con la reclusione da tre mesi a due anni.
Per tutti i delitti di cui sopra, come pena accessoria, è prevista la pubblicazione della sentenza.
Vediamo, insieme all'avv Stefano Nardini, in cosa consite il nuovo piano ispezioni del Garante e in quali ambiti si concentrerà. Il Garante della Privacy ha pubblicato il nuovo piano ispettivo che individua il perimetro delle indagini che verranno svolte nella seconda parte dell'anno, in modo autonomo, per il tramite la Guardia di Finanza. L'adeguamento alle norme e la documentazione è il minimo indispensabile ma una effettiva "compliance" non tutti se la sono ancora data, situazione piuttosto rischiosa visto l'ambito operativo delle nuove indagini. Se...
Scritto da: Luigi DuraccioGli hacker hanno violato la tua email e non sai cosa fare? Oppure hai solo il sospetto che ti abbiano rubato le credenziali? Ecco cosa devi fare. Quando abbiamo il sospetto che la nostra mail sia stata violata, oppure ci hanno segnalato che arrivano delle strane email dal nostro account di posta personale o aziendale, ci sono alcune attenzioni da adottare e procedure da seguire. Si tratta di uno degli eventi più diffusi ed allo stesso tempo più sottovalutati dagli utenti nell'ambito...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili; proteggersi al 100% non è possibile ma sottovalutare il problema potrebbe essere fatale. Come ben sappiamo, la sicurezza informatica di una organizzazione, azienda ente pubblico o altro, è molto importante. Garantire che le informazioni gli stessi dati della azienda e dei suoi clienti non cadano nelle mani di malintenzionati è vitale! In questo quadro si inseriscono le attività degli hacker che, in cerca di denaro, non si fanno scrupoli nel cercare di violare la rete o...
Scritto da: Luigi DuraccioTutto quello che c’è da sapere sugli strumenti a disposizione delle aziende per finanziare a fondo perduto la formazione dei propri dipendenti. Da in4mati.com Autore Luigi Duraccio 2 min Vedi originale Le aziende hanno un’interessante opportunità: possono organizzare – nella propria azienda – corsi di formazione finanziati per accrescere le competenze professionali dei propri dipendenti. Stiamo parlando della “formazione finanziata“, uno strumento molto importante e di grande aiuto per tutte quelle imprese che vogliono mantenersi sempre al passo con i cambiamenti e che vogliono formare – in maniera continua...
Scritto da: Luigi Duraccio6 domande per verificare facilmente se possiamo reggere ad un controllo sull'adeguamento al GDPR. Da in4mati.com Autore Caterina Cabiddu 1 min Vedi originale Come sappiamo, in base ai protocolli nazionali stipulati con il Garante della Privacy, spetta alla Guardia di Finanza procedere ai controlli per la verifica dell’adeguamento al Regolamento Europeo. E’ quindi essenziale conoscere i profili su cui si incentrano i controlli. Il punto di partenza è naturalmente la verifica ex art. 32, ovvero l’approntamento delle opportune misure tecniche ed organizzative o meglio la capacità del...
Scritto da: Luigi DuraccioCosa sono gli attacchi informatici “Zero Day” e cos’hanno in comune col Covid-19. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale I rischi informatici sono molto cambiati negli ultimi anni ma il tema della sicurezza informatica ancora non è prioritario, soprattutto nelle piccole organizzazioni. Lo dimostra la grande superficialità nell’approccio alla protezione dei dati. E’ necessaria una diversa consapevolezza nelle imprese e tra i cittadini. Come è cambiata la sicurezza informatica. Dagli anni ’70, quando fu scoperto il primo malware risale agli anni ’70 che ha portato alla creazione del...
Scritto da: Luigi DuraccioDiffusi i bandi per accedere ai contributi per l’Innovazione Digitale 2020 per l’industria del 4.0 di micro, piccole e medie imprese. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale In un periodo che richiede ancora distanziamento sociale e un percorso di ripresa post-lockdown, la digitalizzazione delle imprese risulta essere un’ancora di salvezza per molte aziende che hanno bisogno di un aiuto concreto per le loro attività. I voucher digitali sono un sostegno reale per micro, piccole e medie imprese, rientrano infatti tra le strategie del Piano Transizione 4.0,...
Scritto da: Luigi DuraccioIl Sistema Pubblico d’Identità Digitale è necessario per ottenere alcuni importanti Bonus Fiscali, per effettuare iscrizioni pubbliche e per accedere a gran parte dei siti della Pubblica Amministrazione. Vediamo cos’è e come ottenerlo. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale Il Sistema Pubblico d’Identità Digitale è necessario per ottenere alcuni importanti Bonus Fiscali, per effettuare iscrizioni pubbliche e per accedere a gran parte dei siti della Pubblica Amministrazione. Tramite l’identità digitale veniamo riconosciuti, ci muoviamo nel WEB ed in ogni sistema informatico, è quindi...
Scritto da: Luigi DuraccioDa in4mati.com Autore Caterina Cabiddu 2 min Vedi originale Le aziende tendono a sottovalutare le problematiche inerenti la rispondenza dei siti web al GDPR, vuoi perché le ritengono esaurite con la consegna del sito da parte di coloro che lo hanno realizzato, vuoi perché pensano che “al massimo” ci siano da “sistemare” i consensi, cookie ed informative. La realtà è che anche siti di recentissima realizzazione non sono rispettosi delle regole GDPR e quando, stupiti, i titolari ne prendono atto, si presenta una ulteriore...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.