bg

News

GDPR: finito il periodo di tolleranza, in avvio i controlli

img News Gdpr Privacy Garanteprivacy Sanzionigdpr Provvedimentogdpr Terminegdpr Documentazionegdpr Responsabilitàprivacy Inosservanzagdpr Sanzionicorrettive Periododitolleranza

Il periodo di tolleranza per le inadempienze, previsto dall’art. 22 del D.Lgs. 101 pubblicato il 10 agosto 2018, è terminato definitivamente il 20 maggio 2019: da questa data, infatti, in caso di trattamento scorretto il Garante ha pieno potere nell’applicazione di ogni sanzione prevista dal GDPR.

Con la fine del periodo di tolleranza le imprese vedranno intensificare i controlli da parte della Guardia di Finanza (in collaborazione con il Garante della protezione dati).

 

Sotto la lente degli organi ispettivi ci saranno sia imprese pubbliche che private, con una particolare attenzione nei confronti dei grandi istituti di credito, di imprese che svolgono attività di profilazione o che trattano dati clinici, SPID e grandi banche dati.

 

In caso di violazione delle norme le conseguenze in cui le imprese potranno incorrere saranno:

  • L’imposizione da parte dell’autorità di controllo di misure procedurali o tecniche correttive immediate;
  • Risarcimento dei danni, sia morali sia materiali, da parte del titolare nei confronti degli interessati;
  • Responsabilità amministrative e penali da parte del titolare;
  • Danni reputazionali a carico del titolare e dell’azienda;

 

Le violazioni verranno suddivise e sanzionate secondo due diverse tipologie.

  1. La prima tipologia di violazioni potrà arrivare fino a 10 milioni di euro oppure, se superiore, al 2% del fatturato annuale della società. Tale tipologia comprende le seguenti violazioni:
  • inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli artt. 8, 11, da 25 a 39, 42 e 43;
  • inosservanza degli obblighi dell’organismo di certificazione a norma degli artt. 42 e 43;
  • inosservanza degli obblighi dell’organismo di controllo a norma dell’art. 41, paragrafo 4.
  1. Il secondo tipo di violazioni prevede delle sanzioni fino a 20 milioni di euro oppure, se superiore, fino al 4% del fatturato totale annuo. Esse, invece, comprendono:
  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9;
  • inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli artt. da 44 a 49;
  • inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’art. 58, paragrafo 2, o il negato accesso in violazione dell’art. 58, paragrafo 1.

 

Le sanzioni correttive da parte delle autorità di controllo potranno consistere:

  • in avvertimenti in merito alla possibile violazione delle normative;
  • in ammonimenti dove i dati siano già stati violati;
  • in ingiunzioni al responsabile del trattamento dati di ascoltare gli interessati nell’esercizio dei propri diritti;
  • in ingiunzioni al responsabile del trattamento di uniformare i trattamenti alle normative;
  • nella limitazione, sospensione, divieto del trattamento (provvisorio o definitivo);
  • nell’imporre la rettifica, l’eliminazione o l’aggiornamento dei dati personali;
  • nel caso di mancata soddisfazione dei requisiti, nella revoca delle certificazioni;
  • in sanzioni amministrative pecuniarie;
  • nel sospendere dei flussi di dati verso un Paese terzo o verso un’organizzazione operante a livello internazionale.

 

 

Qualora si fosse soggetti ad un accertamento da parte della Finanza o del Garante è opportuno avere pronta la documentazione necessaria da sottoporre ad analisi, per dimostrare l’effettivo operato nel rispetto della privacy e del GDPR.

Semplificazione delle procedure non si traduce in una semplificazione della documentazione, quindi cosa bisogna presentare?

 

  • Registro trattamento titolare/ responsabile.
  • Nomina del responsabile della protezione dei dati nei casi in cui è richiesto.
  • Contratti con responsabili del trattamento.
  • Designazione autorizzati al trattamento.
  • Informative agli interessati/sui siti internet.
  • Formule di consenso.
  • Analisi dei rischi.
  • Procedure in caso di data breach.
  • Formazione del personale.

 

Ricordiamo che l’approccio introdotto dal GDPR impone il superamento del mero rispetto formale delle norme, infatti, in fase di ispezione sarà necessario dimostrare l’adempimento delle richieste normative.

 

Per maggiori informazioni sull’effettivo adempimento della normativa GDPR, scrivi a Paul Renda, Founder di Miller Group: paul.renda@millergroup.it


Tags: News Gdpr Privacy Garanteprivacy Sanzionigdpr Provvedimentogdpr Terminegdpr Documentazionegdpr Responsabilitàprivacy Inosservanzagdpr Sanzionicorrettive Periododitolleranza