Dallo scorso 19 settembre è entrato ufficialmente in vigore il nuovo Codice Privacy, corrispondente al decreto che ha recepito il nuovo regolamento europeo – Gdpr – sulle nuove norme che in tutta Europa (Italia compresa) devono essere rispettate in materia di protezione e trattamento dei dati personali dei cittadini Ue.

Scarica qui il Decreto Privacy 

Ora tutte le aziende devono adeguarsi a questa disposizione legislativa, senza se e senza ma. Qualora non lo facessero o venissero colte in fragranza di violazione, andrebbero incontro a sanzioni certe, amministrative e, nella peggiore delle ipotesi, penali.

È di pochi giorni fa però la pubblicazione da parte del Garante della privacy delle istruzioni – a modi Faq – sulla definizione agevolata: la modalità per poter ottenere una riduzione sulla sanzione.

Vediamo di seguito chi ha il potere sanzionatorio e di controllo, quali sanzioni rischia chi commette violazione della privacy e come aderire alla definizione agevolata, per ottenere sanzioni ridotte.

Consulta lo speciale Privacy

Decreto Privacy: cos’è

Con la pubblicazione in Gazzetta ufficiale del Decreto 101 del 10 agosto, possiamo dire che il nostro Paese si è adeguato formalmente e a livello legislativo al Gdpr privacy emanato su scala europea. Il suo obiettivo è di dare all’Europa, ai suo Stati e ai suoi cittadini una normativa comune sul trattamento dei dati personali dei cittadini stessi, anche alla luce dell’innovazione tecnologica e economica degli ultimi anni.

Definizione agevolata privacy: quando si può aderire

Diciamo innanzitutto che la definizione agevolata non è valida per le ingiunzioni successive al 25 maggio 2018 (data di entrata in vigore a livello europeo del GDPR).

Mentre le imprese o i soggetti che si ritiene abbiano commesso violazioni amministrative del codice della privacy già contestate alla data del 25 maggio 2018 con un atto di notifica della violazione possono intraprendere due strade: la definizione agevolata o il contenzioso.

Se si sveglie la definizione agevolata si pagheranno le sanzioni in misura ridotta, pari a due quinti del minimo edittale. Attenzione però perché il pagamento deve essere effettuato entro il 18 dicembre 2018.

Violazione privacy: sanzioni ridotte con la definizione agevolata

A partire dal 19 settembre quindi chi intende avvalersi di questa facoltà potrà ottenere il pagamento ridotto, purché abbia ricevuto entro il 25 maggio 2018 l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.

Le somme da pagare (pari a due quinti dei minimo edittale) per la definizione agevolata delle sanzioni, variano a seconda dalla tipologia di violazione commessa:

  • articolo 161: € 2.400
  • articolo 162, comma 1, Art. 162, comma 2-bis, per le violazioni di cui all’art. 167, Art. 162, comma 2-bis, per le violazioni di cui all’art. 33, Art. 162, comma 2-quater, Art. 162 bis e ter, comma 1, Art. 164: € 4.000
  • articolo 162, comma 2: € 400
  • articolo 162, comma 2-ter: € 12.000
  • articolo 162-ter, comma 2: € 60 per ciascun contraente
  • articolo 162-ter, comma 4, Art. 163: € 8.000
  • articolo 164-bis, comma 2: € 10.000
  • articolo 164-bis, comma 2: € 20.000

Ribadiamo ancora: pagamento da effettuare entro e non oltre il 18 dicembre 2018.

Violazione privacy: come si determinano le sanzioni

Il Regolamento europeo n. 679/2016 prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo calibrato in base al tipo di violazione commessa, tenendo conto di specifici indici, ad esempio:

  • la natura, la gravità e la durata della violazione,
  • il carattere doloso o colposo della stessa,
  • le misure adottate dal Titolare del trattamento per attenuare il danno subito dai soggetti interessati,
  • il grado di cooperazione con l’autorità di controllo

Queste variano a seconda del trasgressore, se si tratta di persona fisica o impresa.

Violazione privacy: quali sanzioni

Le sanzioni per chi commette violazioni del codice della privacy a danno di qualcuno possono essere di diverso tipo (a seconda appunto dei parametri sopra descritti):

  • sanzioni di tipo reputazionale;
  • sanzioni amministrative;
  • sanzioni penali.

Violazione privacy: a quanto ammontano le sanzioni

Vediamo ora quanto possono essere costretti a sborsare i soggetti che si macchiano di violazioni del codice della privacy.

Sanzioni amministrative fino a 10 milioni di euro o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale in questi casi di violazione:

  • articolo 8  (consenso dei minori),
  • articolo 10  (trattamenti che non richiedono l’identificazione degli interessati),
  • articolo 23  (privacy by design e privacy by default),
  • articolo 24  (contitolarità del trattamento),
  • articolo 25  (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
  • articolo 26  (Responsabili del trattamento),
  • articolo 27  (istruzioni e autorità del Titolare),
  • articolo 28  (documentazione relativa a ciascun trattamento di dati personali),
  • articolo 29  (cooperazione con l’Autorità di vigilanza),
  • articolo 30  (sicurezza del trattamento),
  • articolo 31  (notificazione dei data breach all’Autorità),
  • articolo 32  (comunicazione dei data breach agli interessati),
  • articolo 33  (DPIA – Data Protection Impact Assessment),
  • articolo 34  (consultazione preventiva dell’Autorità di vigilanza),
  • articoli 35, 36 e 37  (designazione, posizione e compiti del DPO – Data Protection Officer),
  • articolo 39  (compiti del Responsabile della protezione dei dati)
  • articolo 40  (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di euro o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale in questi casi di violazione:

  • principi base del trattamento, (articolo 5 e ss.)
  • condizioni per il consenso, (articolo 7 e ss.)
  • diritti degli interessati, (articolo12 e ss.)
  • trasferimento di dati personali all’estero, (articoli 44 e ss.)
  • mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’Autorità di vigilanza. (articolo 58)

Sanzioni penali. In questo caso la legge italiana ha sostanzialmente confermato le fattispecie penali previste dal Codice, introducendo la previsione del danno come elemento caratterizzante. Pensiamo ai casi di revenge porn. Ai fini dell’inflizione della sanzione non si terrà conto solo del profitto economico del titolare, ma dell’effettivo danno d’immagine e reputazionale causato alle vittime della violazione.

Sull’argomento Privacy potrebbe esserti utile il seguente volume:

Manuale operativo del D.P.O.

Manuale operativo del D.P.O.

Michele Iaselli, 2018, Maggioli Editore

Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati (RPD), figura di indubbio rilievo designata in funzione delle qualità professionali, in particolare...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Scrivi il tuo commento!
Inserisci il tuo nome