Privacy: le Sanzioni Rischiano di mandarci in Bancarotta??

Quali sanzioni rischi? 

Probabilmente quando hai letto la parola “sanzioni” hai avuto un sussulto… 

Non ti preoccupare, è l’effetto che quella parola fa ad ogni imprenditore e non solo.

Il controllo!” gridava il rag. Ugo Fantozzi alla moglie Pina, timoroso di ricevere la visita del medico del lavoro mentre si trovava a casa in malattia.

Com’è Umano Lei

 

La scena incarna perfettamente, anche se in chiave grottesca, la paura di ogni lavoratore di essere scoperto, con il rischio di perdere il prezioso posto di lavoro.

Non escludo che anche molti imprenditori e professionisti oggi alle prese con gli adeguamenti alle normative introdotte in materia di privacy, possano sentirsi un po’ “fantozziani”.

Soprattutto quando devono affrontare gli ostacoli di natura tecnica ed organizzativa che tali norme, spesso non così chiare, comportano.

 

Quando il possibile non basta…

 

Perché a volte si cerca davvero di fare tutto il possibile per fare le cose bene, o almeno meglio che si può.

L’impressione però è che alla fine, per quanto ci si sforzi, l’impegno non sia mai abbastanza, per salvaguardare le risorse guadagnate a fatica, dallo spettro dei controlli ispettivi e delle conseguenti sanzioni pecuniarie.

 

Non tanto perché non ci sia la volontà di adeguarsi alle modifiche richieste, quanto perché, tanto per cambiare, le difficoltà di natura logistica ed economica che si incontrano per adeguarsi non sono di poco conto.

Ma soprattutto non sono di poco conto, sia per natura che per entità, le sanzioni che il legislatore, europeo prima ed italiano poi, ha pensato di introdurre.

 

Da qui i timori di non riuscire per tempo a mettersi adeguatamente in regola e di farsi cogliere per così dire “impreparati” dagli organi di controllo.

 

Perché il rischio sembrerebbe essere, stando alla lettera delle disposizioni normative, quello di vedere i proventi del proprio duro lavoro andare letteralmente in fumo.

 

Andiamo per gradi.

 

Chi Controlla?

 

In primo luogo occorre precisare che, in Italia, l’autorità deputata a vigilare sul rispetto della normativa in questione è il Garante per la protezione dei dati personali (Garante Privacy), autorità amministrativa indipendente con sede a Roma.

 

L’Ufficio del Garante è articolato in vari dipartimenti e servizi.

 

Al Dipartimento attività ispettive è affidato il compito di svolgere le ispezioni e le indagini per le violazioni che costituiscono reato per le materie di competenza del Garante.

 

Al personale del Dipartimento attività ispettive è attribuita la qualifica di ufficiale e agente di polizia giudiziaria.

 

Ad affiancare il Garante nelle funzioni di controllo è stato istituito un Nucleo Speciale Privacy presso la Guardia di Finanza.

 

Modalità di Controllo

 

La Guardia di Finanza  non applicherà direttamente le sanzioni, ma si limiterà ad effettuare attività ispettiva, sulla base dei programmi disposti periodicamente dal Garante, ovvero in seguito a segnalazioni o reclami da parte degli interessati.

 

Da ricordare che i provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all’autorità giudiziaria.

 

Cosa” Controllano?

 

Dalle prime anticipazioni sembrerebbe che, in fase di controllo, particolare attenzione sarà data al concetto di accountability, responsabilizzazione, verificando in primo luogo:

 

  • la nomina del DPO, il responsabile della protezione dati, laddove prevista;

 

  • le misure predisposte in caso di data breach, in caso di perdita accidentale e occasionale di dati, come ad esempio il furto di un pc, o di un hardisk;

 

  • la sussistenza del registro dei trattamenti, dove previsto, documento dal quale l’Autorità potrà partire per valutare le misure per la tutela della privacy necessarie e adottate.

 

Ci auguriamo tutti che nel concetto di accountability verranno considerate anche le difficoltà cui imprese e professionisti dovranno far fronte per adeguarsi alle nuove disposizioni.

In proposito, l’art. 22 del D.Lgs. n. 101/2018, che adegua il Codice Privacy (D.Lgs. 196/2003) al GDPR, sembrerebbe contenere una disposizione transitoria.

 

Tale disposizione transitoria prevede che per i primi otto mesi dalla sua entrata in vigore (19 settembre 2018), il Garante tenga conto, ai fini dell’applicazione delle sanzioni, della fase di prima applicazione delle disposizioni sanzionatorie.

 

Una norma così formulata,  non indica certamente una sospensione o una moratoria del regime sanzionatorio.

 

Potrebbe però farci sperare che il Garante, fino al mese di aprile 2019, possa decidere, laddove ne ravvisi i presupposti, di propendere per l’applicazione delle misure correttive di cui all’art. 58, in alternativa alle sanzioni amministrative o penali.

 

Decisione che sarebbe certamente più gradita ad aziende e professionisti.

 

Che cosa si Rischia?

 

Il minore dei mali, se proprio deve capitare un controllo dell’Autorità, sembrerebbe corrispondere alle cd. sanzioni correttive.

Consistono in avvertimenti, ammonimenti, ingiunzioni di conformare i trattamenti alle norme, fino alle misure estreme comportanti la limitazione provvisoria o definitiva al trattamento.

 

Queste ultime per il vero non auspicabili in quanto seppure non incidenti direttamente sul patrimonio, di fatto potrebbero limitare o impedire del tutto l’intrattenimento di rapporti commerciali, influendo indirettamente sulla capacità produttiva dell’azienda.

 

Venendo alle sanzioni più invasive dal punto di vista economico, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative:

 

  • per violazioni cosiddette di minore gravità, fino a 10 milioni di euro, o per le imprese (da intendersi come gruppo), fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;

 

  • per violazioni cosiddette di maggiore gravità fino a 20 milioni di euro, o per le imprese (da intendersi come gruppo), fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Tra le violazioni considerate più gravi, troviamo quelle riguardanti:

 

  • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

 

  • i diritti degli interessati a norma degli articoli da 12 a 22;

 

  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

 

  • l’inosservanza di una misura correttiva data dall’autorità di controllo ai sensi dell’articolo 58, o il negato accesso sempre in violazione dell’articolo 58 GDPR.

 

E’ previsto che nella valutazione della violazione l’autorità di controllo tenga conto di circostanze quali:

 

  • la natura;
  • la gravità;
  • la durata della violazione;
  • il carattere doloso o colposo;
  • le categorie di dati personali;
  • il grado di cooperazione con l’autorità di controllo.

 

L’articolo 84 del GDPR prevede che gli Stati membri possano stabilire altre sanzioni in caso di violazioni non sottoposte a misure di carattere amministrativo e pecuniario.

 

In tale ottica il nostro Paese ha deciso di introdurre, con gli artt. 167, 167-bis, 167-ter, 168, del D.Lgs. 101/2018, anche sanzioni penali, applicabili nei casi in cui sia accertato il dolo, dato da un comportamento volto a trarre profitto per sé o per altri, oltre che nei casi in cui emerga che l’agente abbia agito allo scopo di arrecare ad altri un danno.

 

Le violazioni colpite dalle sanzioni penali riguardano  in particolare i casi di:

 

  • Trattamento illecito dei dati

 

  • Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala

 

  • Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala

 

  • Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.

 

Chi Risponde?

 

Il soggetto che si deve preoccupare di “fare le cose bene” per scongiurare i controlli è principalmente il Titolare del trattamento.

 

Nel caso sia stato nominato anche un Responsabile del trattamento, segnaliamo che lo stesso potrà essere chiamato a rispondere in solido con il Titolare, per i danni cagionati a una persona da un trattamento non conforme, salvo che riesca a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

 

Relativamente alla figura del DPO (Data Protection Officer), precisiamo che non è contemplata dalla normativa alcuna responsabilità dello stesso nei confronti degli interessati.

 

Il DPO potrà quindi essere eventualmente chiamato a rispondere, per responsabilità contrattuale, solo nei confronti del Titolare che lo ha nominato.

 

Come ti possiamo aiutare?

 

Non hai ancora avuto tempo di studiare il Regolamento e non sai esattamente cosa devi fare per non incorrere nelle sanzioni previste?

Hai letto il Regolamento, ma non hai le idee chiare?

Contattaci Subito via Messenger: https: //www.facebook.com/clubimprenditori.net

o via e-mail all’indirizzo: info@clubimprenditori.net

Il nostro team dedicato ti aiuterà non solo con la modulistica, ma con tutti gli adempimenti necessari per essere GDPR compliant e non incorrere in sanzioni che potrebbero determinare la chiusura della tua azienda.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento