Il Garante per la protezione dei dati personali ha dato il via alle ispezioni d’ufficio con la partecipazione anche della Guardia di Finanza, come stabilito con Deliberazione del 26 luglio scorso (Provvedimento n. 437/2018). Potranno essere avviate anche attività istruttorie di carattere ispettivo in relazione a segnalazioni o reclami proposti. Gli accertamenti riguarderanno essenzialmente profili di interesse generale (per categorie di interessati) nell’ambito dei trattamenti dati effettuati da società, istituti di credito e per attività di telemarketing. Previsti, inoltre, controlli nei confronti anche delle imprese con riferimento ai presupposti di liceità del trattamento, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati.
Privacy e decreto di adeguamento alla normativa europea: resta aggiornato!
L’attività ispettiva per il secondo semestre 2018 è indirizzata a:
a) accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito dei:
1. trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;
2. trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione
3. trattamenti di dati personali effettuati da società per attività di telemarketing
b) a controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.
Attività della Guardia di Finanza - Le ispezioni, come già accennato, potranno essere effettuate anche dalla Guardia di Finanza sulla base del protocollo d’intesa del 10 marzo 2016 che ha lo scopo di assicurare all’Autorità, tramite l’Unità Speciale GdF, un’efficace collaborazione allo svolgimento delle sue funzioni ispettive, conoscitive e informative sui fenomeni che riguardano il trattamento dei dati personali.
In particolare, il Corpo collabora all’attività ispettiva condotta dal Garante attraverso:
- il reperimento di dati e informazioni sui soggetti da controllare
- l’assistenza nei rapporti con le Autorità Giudiziarie
- la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento
- lo sviluppo delle attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale o amministrativa
- la contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;
- l’esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici.
Sanzioni amministrative - Si rammenta che, dal 25 maggio 2018, è diventato pienamente applicabile il Regolamento Ue 2016/679 (Gdpr) che prevede solo due tipologie di sanzioni amministrative:
- fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore
- fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Tuttavia come si evince dall’art. 83 del Gdpr, le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta o in luogo delle seguenti misure:
- avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possano verosimilmente violare le disposizioni del regolamento;
- ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del regolamento;
- ingiunzione al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal regolamento;
- ingiunzione al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
- ingiunzione al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
- imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
- ordine di rettifica, cancellazione di dati personali o limitazione del trattamento e notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
- revoca della certificazione o ingiunzione all’organismo di certificazione di ritirare la certificazione rilasciata, oppure ingiunzione all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
- ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Ad ogni modo, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, il Garante per la privacy dovrà tenere debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati o ai meccanismi di certificazione approvati;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Sanzioni penali - Per quanto concerne, invece, le sanzioni penali, occorre evidenziare che il d.lgs. n. 101/2018, pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 - che andrà ad adeguare la normativa nazionale alle disposizioni del Regolamento Ue 2016/679 a far data dal 19 settembre 2018 – ha effettuato una mirata e limitata depenalizzazione delle fattispecie di cui al d.lgs. n. 196/2003 in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e amministrative ed ha introdotto nuove fattispecie incriminatrici.
|