Associati
Vuoi aprire un'impresa?
Finanzia i tuoi progetti

Privacy. Scaduto il periodo transitorio. Da adesso meno tolleranza e sanzioni

Home / Privacy. Scaduto il periodo transitorio. Da adesso meno tolleranza e sanzioni
13 Giugno 2019
//

Dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR) è trascorso quasi un anno, mentre sono passati otto mesi dall’entrata in vigore del Decreto che ha introdotto il cosiddetto “periodo di rispetto”, che dal 19 Maggio è arrivato a scadenza. D’ora in poi, le verifiche da parte del Garante della Privacy, con la collaborazione del Nucleo Speciale Privacy della Guardia di Finanza, saranno meno “comprensive” e le sanzioni più puntuali.

 

LE VERIFICHE PROGRAMMATE NEL 2019

Il piano ispettivo del Garante, in questi primi mesi del 2019, si è concentrato sul settore sanità, sui trattamenti effettuati dall’Istat e altri sistemi informatici statistici, sugli istituti bancari (con particolare riferimento ai flussi di cui all’anagrafe dei conti), sull’attività di marketing di società pubbliche e private, sugli Enti pubblici (con riferimento a banche dati di notevoli dimensioni) e su società che usano carte di fidelizzazione di clienti.

 

LE SANZIONI

  • Fino a 20 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente: In caso di violazione degli obblighi del titolare o del responsabile del trattamento dei dati su consenso dei minori, il registro delle attività di trattamento, le misure di scurezza, il data-breach, la valutazione d’impatto, la certificazione della tutela dei dati e i codici di condotta.
  • Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente: In caso di violazione delle regole sulla liceità del trattamento e il consenso, l’informativa, il diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati e di opposizione. Ne sono interessate anche le procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali, le norme relative al trattamento dei dati in materia di rapporti di lavoro e l’inosservanza di una prescrizione del Garante.
  • Penali: riguardano il trattamento illecito dei dati; la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante.
  • Correttive: il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. In questa tipologia sanzionatoria ci stanno anche le limitazioni al trattamento (provvisoria o definitiva); la rettifica, la cancellazione o l’aggiornamento dei dati personali; la revoca delle certificazioni; l’ordine di sospendere i flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.

 

LA CHECK LIST CONTRO I PASSI FALSI

Per non correre rischi, consigliamo di effettuare un check up degli adempimenti:

  • Registro dei trattamenti e analisi dei rischi:  compilare e tenere aggiornati il registro dei trattamenti e il documento di valutazione dei rischi
  • Valutazione impatto privacy: verificarne l’obbligo di compilazione e aggiornare il documento
  • Data breach: minimizzare i rischi e gli effetti negativi della violazione dei dati, notificare la violazione al Garante e comunicarla ai diretti interessati
  • Contitolarità: un accordo da sottoscrivere nel caso in cui ci siano joint venture e mappare l’esternalizzazione dei trattamenti. In caso di outsourcing, stendere contratti con i responsabili esterni
  • Autorizzati al trattamento: mappatura delle nomine esistenti, verifiche e allineamento delle “vecchie” nomine ai nuovi standard legali, profilazione dei dipendenti come utenti del sistema informativo aziendale, formazione nei confronti dei collaboratori
  • Informazioni agli interessati: le informative devono essere messe a disposizione; icone e infografiche possono essere abbinate ai testi
  • Consenso degli interessati: le imprese devono verificare i consensi già raccolti e appurare se sono o no in linea con gli articoli citati ed eventualmente procedere ad una regolarizzazione
  • Dpo (Data Protection Officer): le imprese devono verificare l’obbligo di nomina, e la scelta di un Dpo esterno o interno, cui si deve far seguire la stesura di un contratto o di un atto di incarico

 

PERCHE’ ADEGUARSI PRIMA POSSIBILE

Innanzitutto, per essere conformi ad una direttiva europea che prevede pesanti sanzioni. Inoltre, il regolamento europeo 2016/679 può essere lo strumento per rivedere il flusso delle informazioni dal momento in cui entrano fino a quando escono dall’azienda. Infine, in un mondo sempre più connesso con tecnologie sofisticate e strutturate, il livello di rischio aumenta ed è fondamentale comprendere che la salvaguardia dei dati è una priorità per le aziende. Sono molte le realtà che non hanno messo in campo alcun processo di aggiornamento per la sicurezza dei sistemi, delle infrastrutture e delle reti, e c’è ancora molta confusione sui ruoli e le attività da svolgere per trattare correttamente i dati.

 

Per ulteriori informazioni a riguardo potete contattare i nostri Uffici territoriali.

 

Articoli correlati
      Lavoro Futuro
      Confartigianato TG@ Flash
      Progetti "Scuola impresa"
      I mestieri dell'Arte Artigianato artistico ad Arezzo
      Archivio fotografico storico aretino
      Pubblicazione Bilancio sociale associati
      Coworking Cofartigianato Imprese Arezzo
      raccolta delle iniziative su idee e testimonianze
      Pane Toscano DOP
      Fondazione Arezzo intour
      Mostra mercato Artigianato della Valtiberina Toscana
      Consorzio Multienergia
      Camera di Commercio di Arezzo Siena