Questo è quanto disponeva Il Decreto Legislativo 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), all’art. 22, comma 13.
In realtà si è trattato di una interpretazione che andava oltre le disposizioni citate in quanto sia le norme che i profili sanzionatori sono in vigore da maggio 2018 e non dal 19 maggio 2019.
Ciò comporta che dal 19 maggio 2019 non possiamo più sperare in sconti riguardo le sanzioni amministrative irrogabili. Quindi, per chi non avesse ancora adempiuto agli obblighi previsti dal GDPR, siamo oltre i termini massimi per interrogarsi, e mettere mano, agli adempimenti ai quali si è già adempiuto e quali necessitano di implementazione.
Ricordiamo che le sanzioni previste dal Regolamento n. 679/2016, nei casi più gravi, possono arrivare fino a 20 milioni di euro. Ad ogni modo, quello che dovrebbe far riflettere maggiormente non è solo il rischio d'spezione, quindi l’applicazione delle sanzioni amministrative o penali (ricordiamo il Codice privacy come aggiornato dal D. Lgs. n. 101/2018 prevede anche condotte penalmente rilevanti), quanto la possibilità, questa si concreta, di segnalazioni, reclami o azioni giudiziarie da parte di clienti, dipendenti o terzi delusi da un trattamento o da un comportamento dell’organizzazione; queste azioni avviano contenziosi e potrebbero portare a richieste di risarcimenti.
Concludendo, chi fino ad ora ha ritenuto di poter sottovalutare le disposizioni del GDPR o ha preso tempo per adeguarsi, deve essere consapevole che il tempo è scaduto. Sarebbe veramente opportuno, oltre che vivamente consigliato, intraprendere un percorso di adeguamento e cambiare il modo di gestire i dati nell'ambito dell'organizzazione o azienda.
Ricapitoliamo allora quali sono le sanzioni amministrative, suddivise per i loro massimi, e penali previste.
Fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale.
Sono soggette a tali sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
art. 8 (consenso dei minori),
art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
art. 23 (privacy by design e privacy by default),
art. 24 (contitolarità del trattamento),
art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
art. 26 (Responsabili del trattamento),
art. 27 (istruzioni e autorità del Titolare),
art. 28 (documentazione relativa a ciascun trattamento di dati personali),
art. 29 (cooperazione con l’Autorità di vigilanza),
art. 30 (sicurezza del trattamento),
art. 31 (notificazione dei data breach all’Autorità),
art. 32 (comunicazione dei data breach agli interessati),
art. 33 (DPIA – Data Protection Impact Assessment),
art. 34 (consultazione preventiva dell’Autorità di vigilanza),
artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
art. 39 (compiti del Responsabile della protezione dei dati)
art. 40 (processi di certificazione).
Fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a tali sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
artt. 5 e ss. (principi base del trattamento),
artt. 7 e ss. (condizioni per il consenso),
artt. 12 e ss. (diritti degli interessati),
artt. 44 e ss (trasferimento di dati personali all’estero),
art. 58 (mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza)
Le sanzioni penali sono di competenza di ogni singolo Stato. La situazione italiana è la seguente:
art. 167 del Codice, “Trattamento illecito di dati”
- le violazione riguardanti la materia del trattamento dei dati personali attraverso le comunicazioni elettroniche sono punite con la reclusione da sei mesi a un anno e sei mesi.
- le violazioni che riguardano: a) il trattamento di categorie particolari di dati (artt. 9 e 10 GDPR); b) il trasferimento di dati personali verso un Paese terzo (cioè al di fuori della UE/SEE) o una organizzazione internazionale, sono punite con la reclusione da uno a tre anni.
art. 167 – bis del Codice, “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”
- la comunicazione/diffusione, senza consenso, di un archivio automatizzato o di una parte sostanziale di esso, contenente dati personali, è punita con la reclusione da un anno a sei anni.
art. 167 – ter del Codice, “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”
- chi acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali è punito con la reclusione da un anno e quattro anni.
art. 168 del Codice, “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”
- chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi è punito con la reclusione da sei mesi a tre anni.
- chi cagiona intenzionalmente una interruzione o turba la regolarità di un procedimento dinanzi al garante o degli accertamenti dallo stesso svolti, è punito con la reclusione sino ad un anno.
art. 170 del Codice, “Inosservanza di provvedimenti del Garante”
- chi, essendovi tenuto, non osserva i provvedimenti del Garante è punito con la reclusione da tre mesi a due anni.
Per tutti i delitti di cui sopra, come pena accessoria, è prevista la pubblicazione della sentenza.
Il pericolo aumenta di molto perché il messaggio arriva dall'account di un vostro vero contatto WhatsApp. La segnalazione arriva dalla Questura di Brescia. Per mettere da questa nuova truffa social è stata pubblicata anche la schermata del profilo di un utente raggiunto dal falso messaggio (v. immagine). Quello che sembra un amico, o un proprio contatto, chiede un favore: "Ho comprato da internet ma la mia carta di credito è scaduta. Posso usare la tua e ti faccio un bonifico?". L’italiano non...
Scritto da: Luigi DuraccioBastano un computer portatile o uno smatphone, un ricevitore gps e un software o app per rilevare il segnale Wi-Fi e violare una rete. Cos’è il wardriving E’ una attività illegale, non molto diffusa ma estremamente pericolosa, che consiste nello di spostarsi in auto in una determinata zona alla ricerca di reti Wi-Fi non protette ed effettuare un accesso illegale. Spesso il malvivente si limita ad accedere ad internet a spese del malcapitato ma altre volte il fine è la sottrazione di...
Scritto da: Luigi DuraccioCome bloccare le minacce prima che entrino nelle reti. Proteggendo a monte le infrastrutture e le reti proteggi il business della tua azienda, anche quando lavori fuori sede. Proteggere i sistemi informatici al giorno d'oggi è una vera sfida. I cyber criminali si dotano di strumenti sempre più sofisticati mentre i sistemi di sicurezza tradizionali sono pensati per fronteggiare i virus come si faceva 5, 10 o 15 anni fa. La soluzione? Ad esempio fare in modo che le macchine si difendano da sole, prevedendo...
Scritto da: Luigi DuraccioSecondo l’autorità per la protezione dei dati personali, il provvedimento mette a rischio i diritti e le libertà delle persone. Il Garante aveva già evidenziato, sia al presidente del consiglio che al titolare del ministero della salute, le possibili criticità in merito alla adozione del c.d. “Pass vaccinale” ma senza alcuna risposta. A seguito delle misure anti-Covid, contenute nel dl riaperture in vigore da lunedì 26 aprile, il Garante invia un avvertimento formale: "La norma appena approvata per la creazione e la...
Scritto da: Luigi DuraccioIl ransomware era stato rilevato già dallo scorso 19 aprile (ID-Ransomware), ma in queste ore si registra un aumento esponenziale degli attacchi. Ecco come risolvere il problema. In tutto il mondo è in corso una massiccia campagna malware, tramite il ransomware Qlocker, che prende di mira i NAS e i dispositivi di storage prodotti da QNAP. L’attacco mira a criptare tutti i file presenti nel sistema con conseguente richiesta di riscatto (circa 500€) per ricevere la password e sbloccare i file. Come...
Scritto da: Luigi DuraccioLa scorsa settimana la casa farmaceutica Zambon è stata oggetto di un attacco hacker che ha bloccato la produzione, anche nello stabilimento di Vicenza, per 5 giorni. L’attacco è partito verso un server di una sede all’estero ma è stato subito identificato ed isolato. Tuttavia l’azienda, in via precauzionale, ha sospeso tutte le attività anche nello stabilimento di Vicenza. Secondo la nota diffusa dal gruppo farmaceutico: «È stato un accesso non autorizzato a uno dei suoi server aziendali all’estero, che è stato identificato...
Scritto da: Luigi DuraccioPer le aziende è fondamentale proteggere i dati e le informazioni aziendali. Si tratta di tutelare non solo una singola informazione, ma tutto il flusso di lavoro dell’azienda. Implementare piani di disaster recovery, per proteggere i dati e per lavorare in sicurezza e senza rischi. Le informazioni aziendali sono al sicuro? Grazie alla digitalizzazione oggi è possibile lavorare ovunque, accedendo a dati importanti per la nostra azienda dentro e fuori dall’ufficio. L’utilizzo dei supporti tecnologici e una sempre più costante attenzione all’impatto ambientale hanno influito su una maggior digitalizzazione di documenti,...
Scritto da: Luigi DuraccioDa qualche giorno in vendita sul Dark Web c’è praticamente di tutto: documenti, multe, email, ecc Sembrava “solo” un attacco ransomware, invece da ieri i dati sottratti ai comuni italiani nelle scorse settimane sono in vendita sul darkweb. Articolo originale su In4mati.com Autore: Luigi Duraccio All’inizio sembrava “solo” un attacco ransomware, finalizzato ad ottenere un riscatto per la restituzione dei dati criptati. Da qualche giorno, invece, sul Dark Web, sono in vendita i dati personali dei cittadini coinvolti nell’attacco informatico. Per il comune di Brescia, in particolare,...
Scritto da: Luigi DuraccioVaccini ai dipendenti, le Faq del Garante Privacy „ "Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19" Vaccini ai dipendenti, le Faq del Garante Privacy „Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Questo è solo uno dei chiarimenti del Garante della Privacy intervenuto, sul tema...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.