Site Loader

Il GDPR (General Data Protection Regulation) è il Regolamento UE n. 679/2016 che prevede in che modo gli enti pubblici e le attività commerciali devono utilizzare:

      •  i dati sensibili delle persone (nome, cognome, indirizzo, ecc.)
      • gli indirizzi IP
      •  i cookie

I Principi del GDPR privacy

Il regolamento europeo sulla privacy si basa su alcuni principi. Conoscerne i principali, può aiutarti a capire meglio come gestire i dati dei tuoi clienti.

Responsabilizzazione
. La nuova norma europea responsabilizza le attività in materia di trattamento dei dati. Abbiamo appena visto che il GDPR introduce due figure. Entrambe devono seguire le norme e sono soggette a sanzioni. Pertanto non puoi scaricare la responsabilità sul titolare del tuo booking engine.

Extraterritorialità
. Il GDPR protegge la privacy dei cittadini europei e vincola qualsiasi attività che tratta o gestisce queste informazioni. Spostare i dati fuori dall’UE non è quindi una soluzione.

Protezione dei dati fin dalla progettazione. Con le nuove norme sulla privacy, vale il principio per cui non devi correggere ma prevenire. Ovvero organizzare il trattamento dei dati in modo che non ci siano violazioni prima che queste si verifichino. Il processo di gestione deve essere sicuro dall’inizio alla fine. In termini tecnici si dice privacy by design.

Privacy by default. La privacy e l’utente sono al centro del regolamento. I dati vanno trattati solo secondo modi e tempi sufficienti al raggiungimento dello scopo dell’attività che li raccoglie.

Cosa cambia con l’introduzione del GDPR

Fino ad oggi la tutela della privacy e il trattamento dei dati degli italiani erano regolamentati dal D.lgs 196/2003. Dal 25 maggio 2018 il regolamento europeo sulla privacy prevarrà sul codice italiano in materia di protezione dei dati personali.
Alcune norme sono invariate, altre sono state modificate. Ma ci sono anche delle novità assolute e quindi degli obblighi che non possono essere ignorate per evitare le sanzioni.

1. La notifica della violazione dei dati

Il regolamento europeo stabilisce che in caso di violazione nella procedura di sicurezza che comporti un pericolo per la libertà o i diritti dei cittadini, il titolare del trattamento ha 72 ore per avvisare l’Autorità di Controllo.
Nelle recenti linee guida pubblicate lo scorso aprile dal Gruppo europeo dei Garanti ex art. 29 emerge con forza l’auspicio che il DPO giochi un ruolo importante non solo nella sorveglianza interna, ma anche come efficace facilitatore e comunicatore In questo senso come confermato dal Gruppo europeo dovrebbe avere un ruolo anche in caso di incidenti di sicurezza essendo un punto di contatto con l’Autorità Garante (tale compito disciplinato nell’art. 33 co. 2 lett. b del GDPR).

A tal riguardo, sarà opportuno che le organizzazioni stabiliscano sin subito chi dovrà fare cosa, come e quando qualora si verifichi un incidente di sicurezza, poiché la comunicazione all’Autority dovrà avvenire in tempi strettissimi entro le 72 ore, salvo rari casi di giustificato ritardo.
Il Data Breach riguarderà infatti tutti, dalla pubblica amministrazione, alle organizzazioni complesse a quelle piccole medie imprese, nessuna esclusa

2. Il registro dei trattamenti

Il registro non è sempre obbligatorio, ma è preferibile adottarlo.
Al suo interno devono essere descritti i trattamenti effettuati e le procedure di sicurezza messe in atto, per prevenire la dispersione dei dati ovvero il loro illecito trattamento.
Il Registro delle Attività di Trattamento non è obbligatorio per le aziende con meno di 250 dipendenti, a condizione che:

      • il trattamento dei dati non presenti un rischio per i diritti e le libertà delle persone;
      • si tratti di un trattamento occasionale;
      • non abbia ad oggetto particolari tipologie di dati.

In definitiva, il Registro è l’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare o del responsabile del trattamento, quando le due figure non coincidono.
Inoltre il registro contiene l’indicazione delle misure tecniche (es. gli strumenti di protezione informatica o fisica) e organizzative (es. le regole comportamentali di dipendenti e collaboratori nella gestione dei dati) implementate per garantire la protezione delle informazioni raccolte.

Anche qualora non si rientri nell’obbligo di tenere il suddetto registro, è consigliabile in ogni caso:

      • creare accessi individuali all’”Admin” del tuo sito e dei tuoi gestionali, con differenti livelli di permesso;
      • mappare i trattamenti mettendo in relazione i dati utilizzati, i soggetti coinvolti e le finalità 
d’uso;
      • individuare eventuali rischi per ciascun trattamento;
      • identificare le misure più adatte per garantire la sicurezza di ciascun trattamento scegliendo il giusto mix di strumenti tecnici e organizzativi;
      • elencare i soggetti (compresi consulente del lavoro e commercialista) e i software/strumenti 
(CRM, PMS, Channel Manager, Edgar Smart Concierge), che utilizzi e che gestiscono i dati;
      • rendere facilmente comprensibili le spiegazioni nell’Analisi del Trattamento dei Dati.

3. Diritto all’oblio

Con la locuzione “diritto all’oblio” si intende, in diritto, una particolare forma di garanzia che prevede la non diffusione, senza particolari motivi, di precedenti pregiudizievoli dell’onore di una persona, per tali intendendosi principalmente i precedenti giudiziari di una persona.
In base a questo principio non è legittimo, ad esempio, diffondere informazioni a proposito di condanne ricevute o comunque altri dati sensibili di analogo argomento, salvo che si tratti di casi particolari ricollegabili a fatti di cronaca ed anche in tali casi la pubblicità del fatto deve essere proporzionata all’importanza dell’evento ed al tempo trascorso dall’accaduto. Pertanto, la persona interessata avrà il diritto di chiedere all’attività commerciale la cancellazione dei dati personali.

L’attività dovrà eliminarli se esiste almeno uno dei seguenti motivi ai sensi dell’art. 17:

      • i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
      • l’interessato revoca il consenso e se non sussiste altro fondamento giuridico per il trattamento;
      • l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per 
procedere al trattamento;
      • i dati personali sono stati trattati illecitamente;
      • le informazioni personali devono essere cancellate per adempiere un obbligo legale previsto 
dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
      • i dati personali sono stati raccolti relativamente all’offerta di servizi della società 
dell’informazione.”

4. Data Controller e Data Processor

Il GDPR 2018 introduce due figure – Data Controller e Data Processor – che in realtà già esistevano nel Codice della Privacy italiano:

il Data Controller o Titolare del trattamento

Il Titolare del trattamento (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento. L’introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor.

Il titolare è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell’ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. In particolare gli obblighi sono:

      • notifica al Garante nei casi previsti;
      • adozione delle misure tecniche e organizzative adeguate per garantire, sin dalla fase 
della progettazione, la tutela dei diritti dell’interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
      • vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
      • designazione del responsabile del trattamento a cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali;
      • redazione del registro di trattamenti e formazione del personale;
      • documentazione delle violazioni dei dati personali, comprese le circostanze a essa 
relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare, secondo quanto previsto dall’articolo 82 e dal Considerando 79, risponde direttamente per il danno cagionato all’interessato in conseguenza di una violazione del regolamento. Il Considerando 146 precisa, però, che il titolare sarà responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero ammontare del danno, al fine di garantire l’intero risarcimento. L’interessato potrà, quindi, rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido. Chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che:

      • l’evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
      • o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso.

 

Contratto di elaborazione dati (Data Protection Agreement)

Il titolare del trattamento può scegliere se avvalersi o meno dell’esternalizzazione del servizio di trattamento dei dati, ma una volta optato per tale soluzione non può fare a meno di designare il soggetto in questione quale responsabile del trattamento. In realtà il GDPR (art. 28) non parla di nomina, bensì stabilisce che i trattamenti del responsabile debbano essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisca garanzie sufficienti.

In particolare, il contratto deve disciplinare: la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

Col contratto, in base a quanto stabilito dell’art. 28 del nuovo regolamento europeo, il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Nella prassi è invalso l’uso che sia il responsabile a redigere un contratto che poi il titolare eventualmente accetterà dopo aver verificato che le garanzie fornite sono sufficienti. Questo perché i titolari (cioè i clienti) non sempre sono in grado di stabilire concretamente quali garanzie sono applicabili ai servizi richiesti, e comunque per il fornitore valutare e conformarsi a contratti diversi per ogni cliente sarebbe defatigante.

Nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, diventa titolare della gestione illecita dei dati e ne risponde come tale, insieme all’effettivo titolare (è come se diventassero co-titolari).
Nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all’interessato, secondo quanto previsto dall’articolo 82. Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare del trattamento.

Il Considerando 28 stabilisce, altresì, un obbligo in capo al responsabile di informare immediatamente il titolare del trattamento qualora ritenga un’istruzione fornitagli in violazione delle norme in materia di protezione dei dati personali, compreso le norme nazionali. Di conseguenza il regolamento europeo configura, in capo al responsabile, un dovere generale di verifica e controllo generale della conformità delle procedure aziendali con conseguente responsabilità, in solido col titolare, nel caso di omesso controllo o omessa informazione al titolare.

Data Processor o Responsabile del trattamento

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Il titolare del trattamento risponde della gestione effettuata dal responsabile, dovendo ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili. Il titolare deve sempre poter sindacare le decisioni dei responsabili.

Il responsabile del trattamento dovrà avere innanzitutto una competenza qualificata (ad esempio, frequentazione di corsi di aggiornamento (in tal senso si può fare riferimento alla normativa UNI 11697/2017 che prevede un corso di almeno 60 ore-), e garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali). Ovviamente dovrà disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia. Se è soggetto interno all’azienda le risorse saranno a carico del titolare.
Il responsabile ha obblighi di trasparenza. In tal senso occorre contrattualizzare il rapporto tra titolare e responsabile, specificando gli obblighi e i limiti del trattamento dati. Il responsabile riceverà, tramite l’atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi. Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR).

Poi, il responsabile ha l’obbligo di garantire la sicurezza dei dati. Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, dovrà inoltre garantire la riservatezza dei dati, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento. Sia il titolare del trattamento che il responsabile, sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il responsabile può dimostrare le garanzie sufficienti anche attraverso l’adesione a codici deontologici ovvero a schemi di certificazione. Inoltre, il responsabile ha l’obbligo di avvisare, assistere e consigliare il titolare.

Dovrà, quindi, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto (DPIA).

Il web hosting quale responsabile del trattamento

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L’hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. È un punto fondamentale, perché se l’hosting va oltre le istruzioni diventa data controller (cioè titolare) con tutte le conseguenze del caso. L’hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting.

L’hosting, inoltre, ha l’obbligo di notificare al titolare le eventuali violazioni di dati.
È buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l’obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell’hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting.
È pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell’hosting. Ma se l’hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.
Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.

5. Data Protection Officer (DPO)

Alle due precedenti figure bisogna aggiungere la vera importante novità introdotta dal GDPR, rappresentata dall’obbligo di nominare un Data Protection Officer, che rappresenta il responsabile della protezione dei dati. Non deve essere necessariamente interno (come per enti pubblici, attività che trattano dati giudiziari o operano su larga scala). Nel caso degli hotel e delle strutture ricettive, può essere una professionista esterno, un’associazione o un ufficio. Il DPO è un professionista (può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata). L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO.

Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

    1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
    2. sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
    3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
    4. cooperare con l’autorità di controllo;e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Più nel merito, i complessi compiti affidati al DPO sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne anche altri compiti, nello specifico il DPO dovrà: 1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento; 2) sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati; 3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo; 4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia); 5) fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management). Considerato che Il DPO può essere anche un dipendente dell’Ente o dell’azienda, presumibilmente, per questioni di economicità si cercherà di nominare come DPO un soggetto già presente all’interno della struttura, ma la scelta deve essere considerata con oculatezza tenendo conto delle dimensioni aziendali e delle qualità personali della persona nominata. Difficilmente all’interno dell’Azienda è già presente una figura con i requisiti richiesti dalla nuova normativa (preparazione specialistica, formazione continua ed esperienza concreta acquisita sul campo nel corso del tempo). Occorre tener conto anche del principio di imparzialità che contraddistingue questa nuova figura: un dipendente, avendo altri incarichi all’interno dell’azienda, potrebbe risultare in conflitto di interessi per il ruolo che occupa. Il DPO deve essere, invece, il supervisore, una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali. Meglio sarebbe, quindi, optare per un professionista esterno che svolge questa attività in maniera esclusiva anche per più enti, magari coadiuvato da uno o più soggetti interni all’organizzazione aziendale in grado di rappresentare le motivazioni, le modalità e le finalità del trattamento. A norma del GDPR, il DPO deve essere “tempestivamente e adeguatamente coinvolto” in tutte le questioni che riguardino la protezione dei dati personali sin dalle fasi iniziali (art. 38); in particolare, le aziende che rispettino i requisiti per la nomina previsti dall’art. 37 del Regolamento devono garantire al Responsabile la partecipazione alle riunioni di management di alto e medio livello e a quelle in cui debbano essere assunte decisioni che possano influire sulla protezione dei dati, dando la dovuta considerazione ai pareri che il DPO ha la facoltà di formulare (sebbene siano privi di efficacia vincolante). I compiti del Responsabile della protezione dati sono sommariamente indicati nell’art. 39 del Regolamento (la cui formulazione letterale non esclude però che essi possano essere ampliati). Nello specifico, il DPO deve fornire attività di informazione e consulenza sugli obblighi derivanti dal GDPR o da altre disposizioni imperative europee e nazionali, deve sorvegliare sull’osservanza del regolamento e delle altre fonti da parte del titolare o del responsabile del trattamento (comprese le attribuzioni di responsabilità, la sensibilizzazione e la formazione del personale aziendale), su richiesta specifica deve fornire un parere sulla “valutazione d’impatto” della protezione dati, deve cooperare con l’autorità di controllo ed infine fungere da tramite per l’autorità di controllo stessa su questioni connesse al trattamento (e fornire eventuali consultazioni).

6. Sanzioni

Il GDPR ha introdotto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali.In particolare, l’art. 83 del GDPR distingue due gruppi.

Nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti:

      • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
      • l’organismo di certificazione, Accredia;
      • l’organismo di controllo dei codici di condotta (art. 41 GDPR).

Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:

      • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
      • dei diritti degli interessati a norma degli articoli da 12 a 22;
      • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione 
internazionale a norma degli articoli da 44 a 49;
      • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
      • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un 
ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, 
paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni sopra citate e, ai sensi dell’art. 15, co. 3 del d.lgs. 101/2018, dovrà avere cura di valutare caso per caso le violazioni, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive (art. 83, co. 1 GDPR), tenendo in debito conto le circostanze di cui all’art. 83, co. 2 GDPR, ossia: la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, ecc. In alternativa o in aggiunta a queste, il Garante potrà comminare le altre sanzioni previste dall’art. 58, par. 2 GDPR. 
L’art. 84, infine, lascia facoltà agli Stati membri di prevedere ulteriori sanzioni, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie di cui all’art. 83, a condizione che esse siano sempre effettive, proporzionate e dissuasive.
Proprio in virtù di tale facoltà, il legislatore con il d.lgs. 101/2018 ha apportato rilevanti modifiche alla Parte III, Titolo III del Codice Privacy, prevedendo ulteriori fattispecie di illeciti soggette alle predette sanzioni amministrative di cui all’art. 83 del GDPR. Il nuovo art. 166 del Codice Privacy infatti, prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione; 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati; 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto; 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto – di cui all’articolo 110 – ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante, in relazione alle attività di ricerca medica, biomedica ed epidemologica.

Il secondo comma dell’art. 166 prevede, invece, la più pesante sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, 2- septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septiese 2- quater. Sempre l’art. 167 prevede, inoltre, i principi e le modalità procedurali che il Garante dovrà rispettare nell’adozione dei provvedimenti sanzionatori, mentre è stata espressamente esclusa l’applicabilità delle suddette norme ai trattamenti svolti in ambito giudiziario.

D’altro canto, tutte le altre disposizioni del Codice Privacy che prevedevano sanzioni amministrative per violazioni di norme del Codice sono state abrogate dal Decreto: nello specifico, sono stati abrogati tutti gli articoli che componevano il Capo Primo della Parte III, Titolo III del Codice Privacy (artt. da 161 a 165), fatta eccezione per l’art. 166 sopra esaminato, che è stato mantenuto con le modifiche di cui sopra.

 

Sanzioni penali

Con riguardo alle sanzioni penali, se da un lato il GDPR non ne prevede direttamente, lo stesso ammette dall’altro lato la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR, nonché violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento (Considerando 148). Anche in questo caso è intervenuto il Decreto, modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy ed integrando le stesse con ulteriori violazioni.
Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:

      • 167 (Trattamento illecito dei dati)
      • 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento);
      • 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
      • 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o 
dell’esercizio dei poteri del Garante);
      • 170 (Inosservanza dei provvedimenti del Garante); 
Si deve segnalare, per completezza, l’abrogazione dell’art. 169 (che, in virtù del nuovo principio di accountabilityintrodotto dal GDPR non aveva più ragion d’essere), nonché la parziale modifica dell’art. 171 (ora rubricato “Violazioni delle disposizioni in materia dei controlli a distanza e indagini sulle opinioni dei lavoratori”), per la cui violazione permangono comunque le sanzioni di cui all’art. 38 dello statuto dei lavoratori (L. 300/1970), e dell’art. 172.

 

Responsabilità

In relazione all’individuazione del soggetto chiamato a rispondere delle violazioni della normativa privacy, il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile. Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito. Conseguentemente, qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento sarà chiamato a rispondere, in solido, per la totalità̀ del danno, salvo dimostri che l’evento dannoso non gli sia imputabile e fermo restando, in ogni caso, il diritto di proporre un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nel medesimo trattamento.

Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Post Author: Avv. Daniele Quaranta

Lascia un commento

Studio Legale ‘O

Via dell’Orto, 16
50123 | Firenze | FI

Tel.: 055 0196339

Mail: segreteria@avvocatocerquetti.it

In primis hominis est propria veri inquisitio atque investigatio 

Articoli recenti

Copyright © 2021Studio Legale 'O