“Privacy”: gli adempimenti del Gdpr in vista della scadenza del 20 maggio 2019

17 Mag, 2019 by Redazione

Print this article Font size -16+

Un anno fa, di questo periodo, vi era molta attenzione alla data del 25 maggio 2018, data in cui è divenuto definitivamente applicabile il Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali noto come “Gdpr”.

In vista del 20 maggio prossimo non vi è, sul tema, la stessa attenzione nonostante l’importanza della scadenza in questione.

Ciò premesso, cosa accade il 20 maggio 2019 ?

In tale data cessa definitivamente la “fase di prima applicazione delle disposizioni sanzionatorie” da parte del Garante e si entrerà così – definitivamente – nel regime “ordinario”.

Il Dlgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, pubblicato sulla G.U. n. 205 del 4 settembre 2018, è entrato in vigore il 19 settembre dello scorso anno, 15 giorni dopo la pubblicazione sulla Gazzetta Ufficiale.

L’art. 22 del Decreto in questione, rubricato “Altre disposizioni transitorie e finali”, al comma 13 stabilisce che “per i primi 8 mesi dalla data di entrata in vigore del presente Decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Ebbene, il 19 maggio 2019 (domenica) scadranno gli 8 mesi e, pertanto, da lunedì 20 maggio si entrerà nel regime ordinario.

Avendo chiaro che il regime sanzionatorio fissato dal Gdpr entrerà definitivamente a regime dal 20 maggio 2019, occorre affrontare il tema dell’entità delle (possibili) sanzioni a cui il Gdpr dedica l’art. 83, il cui contenuto di seguito si sintetizza:

10. i) sanzioni amministrative pecuniarie fino a 10.000.000 Euro, o per le Imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni relative a:

– gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli artt. 8 (“Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”), 11 (Trattamento che non richiede l’identificazione), da 25 a 39 (tra i quali vi sono, la protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, la nomina dei responsabili, la tenuta del registro dei trattamenti, a procedura per il “data breach”, le misure per la sicurezza del trattamento);

20. ii) sanzioni amministrative pecuniarie fino a 20.000.000 Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni attinenti a:

– i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9;

– i diritti degli interessati a norma degli artt. da 12 a 22.

Diversamente da quanto accade nell’ordinamento nazionale per cui le sanzioni amministrative prevedono un minimo e un massimo, il Regolamento europeo fissa solo il massimo (fino al …). Ovviamente ciò non vuol dire che per ogni sanzione sarà applicato il massimo ma si pone il problema di dove sarà collocato … il minimo. In altri termini, non vi sono – ad oggi – indicazioni su come calcolare l’entità (seppur nel “minimo”) delle sanzioni.

Nella prospettiva di graduare l’entità della sanzione amministrativa, lo stesso art. 83, al paragrafo 2, individua alcuni criteri:

“Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

1. a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
2. b) il carattere doloso o colposo della violazione;
3. c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
4. d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32 (‘privacy by design’ e ‘privacy by default’ e misure di sicurezza);
5. e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
6. f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
7. g) le categorie di dati personali interessate dalla violazione;
8. h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
9. i) qualora siano stati precedentemente disposti provvedimenti di cui all’art. 58, paragrafo 2, nei confronti del Titolare del trattamento o del Responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
10. j) l’adesione ai codici di condotta approvati ai sensi dell’art. 40 o ai meccanismi di certificazione approvati ai sensi dell’art. 42; e
11. k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione”.

Ricostruito in questi termini lo scenario che si andrà a delineare in via definitiva tra pochi giorni, il tema riguarda cosa fare per non incappare nelle sanzioni di cui sopra.

Si tratta quindi di costruire un “Modello di organizzazione della privacy” (Mop), il quale prevede la predisposizione, da parte del Titolare, di una serie di documenti che possono essere così sintetizzati.

Da un punto di vista “normativo” di dovrà provvedere alle seguenti attività:

1. a) formalizzazione dei ruoli: Titolare; Responsabili del trattamento dei dati interni ed “esterni”; altri Responsabili; Responsabile della protezione dei dati/Data protecion Officer (“Rpd”/”Dpo”); adetti;
2. b) redazione delle informative, in particolare nei casi in cui sia necessario ottenere il consenso dell’interessato;
3. c) redazione del Registro dei trattamenti di cui all’art. 30 del Gdpr.

Per poter fare questo è necessario un approfondimento, di livello “strutturale”, che coinvolga le seguenti attività:

1. i) mappatura dei dati, consiste nel verificare l’ubicazione (fisica e IT) dei dati;
2. ii) l’analisi dei rischi derivanti dall’assetto attuale (rischi fisici, umani, IT);

iii) l’elaborazione di procedure per la gestione del rischio e per la sua minimizzazione;

1. iv) effettuazione della Valutazione di impatto sulla protezione dei dati (Data Protecion Impact Assesment)
2. v) l’elaborazione di una procedura da usare in caso di “incidente” che coinvolga la disponibilità, l’integrità e la riservatezza dei dati (c.d. “data breach”); in questo caso, infatti, il Regolamento fissa in 72 ore – dalla scoperta – il termine per notificare la circostanza al Garante. La circostanza se e in che misura il Titolare del trattamento o il Responsabile del trattamento ha notificato la violazione è uno degli elementi presi in considerazione in occasione dell’eventuale sanzione e per determinare l’entità della stessa;
3. vi) tenuta del c.d. “Registro incidenti” in cui annotare tutti gli episodi (anche quelli per i quali il titolare non ha ritenuto necessario notificare la circostanza al Garante);

vii) la formazione (risultante da un programma);

viii) il monitoraggio.

In conclusione, dopo 3 anni dall’approvazione del Gdpr (2016) e dopo un anno dalla sua definitiva applicabilità (25 maggio 2018), si sta per entrare nel “mare aperto” delle sanzioni.

Non è probabilmente casuale il fatto che nel Piano delle ispezioni del primo semestre del 2019 l’Autorità garante per la protezione dei dati personali ha definito priorità, principi e criteri da seguire. Questa prevede accertamenti sul posto, nei luoghi in cui si effettuano i trattamenti di dati o rilevazioni utili al medesimo scopo, effettuati dal personale dell’Ufficio del Garante o delegati alla Guardia di Finanza. Ne saranno interessati soggetti non necessariamente individuati sulla base di reclami o segnalazioni, facendo riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti.

In particolare, le ispezioni in programma riguarderanno:

a) il trattamento di dati personali effettuati da aziende, per attività di marketing e con particolare riferimento ad attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;

b) Istituti bancari, con particolare riferimento ai flussi di dati che alimentano l’Anagrafe dei conti;

c) Enti pubblici, con particolare riferimento a banche-dati di notevoli dimensioni.

Ebbene, sembra proprio che – da parte del Garante -sia tutto pronto per avviare le ispezioni (finalizzate all’applicazione delle sanzioni). I titolati sono altrettanto pronti?

di Flavio Corsinovi

Redazione

More articles by Redazione