Consiglio Nazionale dei Dottori
Commercialisti e degli Esperti Contabili
Il Codice deontologico della Professione
• 14 novembre 2013
3 dicembre 2013
Seminario di aggiornamento e approfondimento professionale in materia di diritto del lavoro
La privacy per gli studi professionali
a cura di Maria Luciana Fragalà
Consigliere ODCEC CT
13 novembre 2018 – Roma
-Legge n. 675 del 31 dicembre 1996 : data attuazione alla Direttiva di armonizzazione 95/46/CE;
-D.P.R. 28 luglio 1999, n. 318 con il quale venivano individuate, in via preventiva, le misure minime di sicurezza per i dati personali oggetto di trattamento,
-D.Lgs. 28 dicembre 2001, n. 467, che apportava sostanziali modifiche alla disciplina in materia di privacy allora vigente
-D.Lgs. 30 giugno 2003, n. 196 (Codice in materia dei dati personali), entrato in vigore il 1° gennaio 2004, che ha abrogato la disciplina previgente
-L. 25 ottobre 2017, n. 163 (cd. “Legge di delegazione europea 2016- 2017”):ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute;
Il quadro normativo di riferimento
2
-Legge di bilancio 2018 (Legge 27 dicembre 2017, n. 205, pubblicata in G.U. n. 302 del 29.12.2017) all’art. 1, commi da 1020 a 1025,
1) attribuisce al Garante, a tutela dei diritti fondamentali e delle libertà dei cittadini, determinati poteri di carattere regolamentare, di
vigilanza e inibitori,
2) introduce direttamente alcune modifiche e innovazioni in materia di protezione dei dati personali, in relazione a determinati trattamenti, in vista della piena applicazione del GDPR.
Il quadro normativo di riferimento
Un primo tentativo di uniformazione della disciplina interna alle disposizioni del GDPR :
cd. Legge europea del 2017 (Legge 20 novembre 2017, n. 167), la quale ha modificato soltanto alcune disposizioni del Codice della privacy, in tema di
1) responsabile del trattamento,
2) di riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici,
3) di conservazione dei dati relativi al traffico telefonico e telematico 4) di ruolo organico del personale alle dipendenze del Garante
Il quadro normativo di riferimento
4
DIRETTIVA 95/46/CE
D.Lgs n. 196 del 30 giugno 2003
"Codice in materia di protezione dei dati personali”
• Testo unico sulla Privacy
• In vigore dall’1 gennaio 2004
• Aggiornato e implementato
• Ha sostituito la L. 675/1996
RELATIVA ALLA TUTELA DELLE PERSONE FISICHE CON
RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, NONCHÉ ALLA LIBERA CIRCOLAZIONE DI TALI DATI
Ratio : armonizzare la tutela dei diritti e delle libertà fondamentali rispetto alle attività di
trattamento dati personali in Europa.
Dir
95/46/Ce L. 675/1996 D.Lgs
196/2003 Dpr 318/1999
Dpr 467/2001 Legislazione
Garante
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, emanato il 27 aprile 2016, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla libera
circolazione di tali dati,
Il regolamento troverà applicazione diretta a partire dal 25 maggio 2018 in tutti i Paesi facenti parte dell’Unione Europea.
E’ di portata generale e di applicabilità diretta in tutti i suoi elementi,
non vi è necessità di una legge di recepimentoIl quadro normativo di riferimento
Protezione di: diritti e le libertà fondamentali delle persone
fisiche, in particolare il diritto alla protezione dei dati personali
Libera circolazione dei dati personali nell'Unione Europea
6
GDPR in Italia
Il nostro Codice (D.Lgs 30 giugno 2003, n. 196) verrà:- rimaneggiato in vista di coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal
regolamento (UE) 2016/679 e
- altresì adeguato il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con
previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse
D.Lgs 51 18.05.2018 in materia di trattamento dei dati personali da parte delle autorità per la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o esecuzione di sanzioni penali
In vigore all’ 8.06.2018
Vengono assegnati i compiti a ciascun soggetto abilitato a trattare i dati raccolti (oltre alle relative modalità di informazione):
La conservazione dei dati deve essere svolta in modo tale da permettere l’identificazione degli interessati nel solo tempo necessario al conseguimento delle finalità per le quali i dati sono stati raccolti. Periodicamente, deve essere permessa la verifica dei dati ed eventualmente la loro cancellazione.
17.10.2017: il Parlamento approva il DDL di delegazione europea 2016-2017 (A.C 4320).
Contiene la delega legislativa per adeguare la normativa nazionale al GDPR.
25.10.2017: il Parlamento emana la L. 25/10/2017 n. 163.
Entro il 21.05.2018 il Governo avrebbe dovuto adottare decreti legislativi «al fine di adeguare il quadro normativo nazionale alle disposizioni» del GDPR
Proroga della delega (ex. L.
234/2012 art. 31) al 21.08. 2018
Mancata adozione D.lgs di coordinamento
GARANTE PROTEZIONE DATI
PARERE CON OSSERVAZIONI
1)Obiezioni sulle Sanzioni Penali ( dolo da profitto e dolo da danno per esigenze di continuità)
2)Tempi conservazione dati traffico telefonico (oggi 72 mesi per proporzionalità esig invest e privacy) 3) Minori ( consenso all’uso dei dati a 14 anni e non a 16)
4) Revisione autorizzazioni generali ( 4 mesi in più rispetto ai 90 gg successivi all’entrata vigore D.Lgs)
Il quadro normativo di riferimento
CRITICITA’
APPLICAZIONE APPROFONDIMENTO
QUESTIONI
8
CdM n. 14 8 agosto 2018 schema di decreto legislativo in att. art. 13 L. 163/2017
-
garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni;
- modalità semplificate di adempimento degli obblighi del titolare micro, piccole e medie imprese Decreto legislativo 101/2018 in Gazzetta Ufficiale n.205 del 4 settembre 2018
- “
moratoria” di otto mesi per consentire a tutti gli operatori di essere in regola con le nuove disposizione in materia di Protezione Dati???????D. Lgs. n. 101 10.08.2018 G.U. n. 205 04.09.2018 in vigore dal 19.09.2018
Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo
Il quadro normativo di riferimento
ABROGAZIONI
articolo 27 : Sono abrogati i titoli, capi, sezioni, articoli del D.Lgs. n. 196 del 2003, di seguito elencati:
a) alla parte I: 1) gli articoli 3, 4, 5 e 6;
2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII;
b) alla parte II:1) il capo I del titolo I;
2) i capi III, IV e V del titolo IV;
3) gli articoli 76, 81, 83 e 84;
4) il capo III del titolo V;
5) gli articoli 87, 88 e 89;
6) il capo V del titolo V;
7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119;
8) i capi II e III del titolo X, il titolo XI e il titolo XIII;
c) alla parte III: 1) la sezione III del capo I del titolo I;
2) gli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis,165 e 169;
3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179;
4) il capo II del titolo IV;
5) gli articoli 184 e 185;
d) gli allegati B e C”.
Il quadro normativo di riferimento
10
Art. 111 Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro.
Il Garante promuove, ai sensi dell’articolo 2-quater, l’adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato nell’ambito del rapporto di lavoro per le finalità di cui all’articolo 88 del Regolamento, prevedendo anche specifiche modalità per le informazioni da rendere all’interessato.»;
dopo l’articolo 111 è inserito il seguente:
Art. 111-bis Informazioni in caso di ricezione di curriculum.
Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro,
vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo.
Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”.
Il quadro normativo di riferimento
Il Garante per la protezione dei dati personali (Garante Privacy) è l'autorità di controllo nazionale italiana:
• un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996, n.
675), in attuazione delladirettiva comunitaria 95/46/CE;
• La sua sede è a Piazza di Monte Citorio n. 121 in Roma;
• E’ composto dal Collegio, che ne costituisce il vertice, e dall'Ufficio
- Il Collegio e' costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato - I componenti eleggono nel loro ambito un presidente e un vicepresidente
- L'incarico di presidente e quello di componente hanno durata settennale e non sono rinnovabili.
• Compiti: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, b) trattare i reclami,
c) promuovere l'adozione di regole deontologiche,
d) denunciare i fatti configurabili come reati perseguibili d'ufficio, e) trasmettere la relazione predisposta annualmente,
f) cooperare con le altre autorità amministrative, g) adottare linee guida di indirizzo
h) limitare, sospendere o vietare i trattamenti in violazione delle norme i) irrogare sanzioni correttive
Le autorità di controllo Garante Privacy
12
Articolo 154-ter (Potere di agire e rappresentanza in giudizio).
1. Il Garante e' legittimato ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali.
2. Il Garante e' rappresentato in giudizio dall'Avvocatura dello Stato, ai sensi dell'articolo 1 del regio decreto 30 ottobre 1933, n. 1611.
Il Garante non e' competente per il controllo dei trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.
Il personale dell'Ufficio del Garante addetto agli accertamenti, nei limiti del servizio cui e' destinato e secondo le rispettive attribuzioni, la qualifica di ufficiale o agente di polizia giudiziaria.
E’ l’organo competente ad irrogare le sanzioni, ai sensi dell’art. 15, co. 3 del d.lgs. 101/2018:
Applica l’art. 83 GDPR:
c. 1: dovrà garantire caso per caso che le sanzioni siano sempre effettive, proporzionate e dissuasive c.2: tenuto conto delle circostanze (natura, gravità, durata della violazione, carattere doloso o
colposo della stessa, categorie di dati personali interessate dalla violazione, etc)
Potrà applicare i poteri correttivi di cui all'art. 58 par. 2 del GDPR ossia ammonimenti, avvertimenti, ordini di rettifica, ordine di soddisfare richieste dell'interessato.
Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali.
Le autorità di controllo
Garante Privacy
Art. 158, comma 2, del D.Lgs. 30 giugno 2003, n. 196 per lo svolgimento delle sue funzioni, l'Autorità Garante per la protezione dei dati personali si avvale, ove necessario, anche della collaborazione di altri organi dello Stato;
Il prof. Francesco Pizzetti, Presidente dell'Autorità e il Gen. C.A. Roberto Speciale, Comandante Generale della Guardia di Finanza hanno sottoscritto un Protocollo d'Intesa
competenza generale del Corpo in materia economico-finanziaria collaborazione con le Autorità indipendenti
concertazione linee programmatiche dell'attività di collaborazione verifica periodica dell'andamento
Per le attivazioni ed i relativi riscontri operativi, il Garante attiva il Nucleo Speciale Privacy, quale reparto della Guardia di Finanza individuato per assicurare - su tutto il territorio nazionale o previo
interessamento del Reparto territorialmente competente - gli adempimenti connessi all'attività di collaborazione.
Le autorità di controllo
Guardia Finanza Nucleo Speciale Funzione Pubblica
14
Lo scopo del protocollo è quello di assicurare all'Autorità, tramite l'unità speciale, un'efficace
collaborazione allo svolgimento delle sue funzioni ispettive, conoscitive ed informative sui fenomeni che riguardano il trattamento dei dati personali.
In particolare, il Corpo collabora all'attività ispettiva condotta dall'Autorità attraverso:
• il reperimento di dati ed informazioni sui soggetti da controllare;
•l'assistenza nei rapporti con le Autorità Giudiziarie;
•la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
•lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura penale o amministrativa;
•la contestazione delle sanzioni amministrative rilevate nell'ambito delle attività delegate;
•l'esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici;
•la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini dell'applicazione del Codice, di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio.
“…..Esso testimonia gli ottimi risultati sin qui ottenuti e la volontà di adeguare il testo alle modifiche di carattere normativo ed ordinativo del Corpo, assicurando il proprio sostegno ad un comparto delicato come quello della tutela dei dati personali….”
Le autorità di controllo
Guardia Finanza Nucleo Speciale Funzione Pubblica
Le autorità di controllo
Guardia Finanza Nucleo Speciale Funzione Pubblica
16
Considerando 74 : È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure.
Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche
Accountability -Approccio basato sul rischio
titolare libero di adottare le misure che crede
applicazione concreta e documentata dei principi generali del GDPR
Il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al regolamento
ACCOUNTABILITY
Definizione nel GDPR
Art 24 -Responsabilità del titolare del trattamento
• Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
• Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
• L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
ACCOUNTABILITY Definizione nel GDPR
18
MISURE ADEGUATE (scalabilità)
VALUTAZIONE EX ANTE
SPECIFICHE
CIRCOSTANZE
CONTESTO
Le Autorità di controllo hanno il potere di infliggere importanti sanzioni amministrative sia al titolare sia al responsabile del trattamento.
Le sanzioni possono essere imposte in luogo o in aggiunta alle misure che possono essere ordinate dalle Autorità di controllo.
Le sanzioni amministrative devono essere efficaci, proporzionali e dissuasive.
Due gruppi di sanzioni amministrative
1)Violazioni soggette a sanzioni amministrative fino a 10 milioni di euro o, per le imprese, al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore al massimo stabilito;
2)Violazioni soggette a sanzioni amministrative fino a 20 milioni di euro o, per le imprese, al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore al massimo stabilito.
Il quadro normativo di riferimento
SANZIONI
Violazioni punite fino a 20 milioni euro e fino al 4%
(Art. 83,par.4)
-Principi generali, incluse le condizioni per il consenso (artt .5,6,7 e 9) -Diritti dell’interessato (artt. da12 a 22)
-Trasferimenti internazionali (artt. da 44 a 49)
-Obblighi imposti dalla legge dello Stato membro ai sensi del capo 9
-Mancata osservanza ad un ordine imposto da una Autorità di controllo (cfr. art. 58,comma 2) -Negato accesso in violazione dell’art. 58,par.1 (attività ispettiva)
Violazioni punite fino a 10 milioni di euro e fino al 2%
(Art.83,par.5)
-gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8,11, da 25 a 39, 42 e 43
Gli Stati membri sono liberi di inserire anche sanzioni penali (Art.84)
Il quadro normativo di riferimento SANZIONI
20
Il nuovo art. 166 c.1 Cod.Privacy (modificato dal d.lgs 101/18)
Il quadro normativo di riferimento SANZIONI
Sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni relative a:
• informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione (art. 2quinquies, comma 2),
• trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati ( art. 2-quinquiesdecies),
•cartelle cliniche e ai certificati di assistenza al parto(art. 92, comma 1, 93, comma 1),
•trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico(art. 123, comma 4, 128, 129, comma 2, e 132-ter)
In particolare:
- trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
- mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
- violazione dell’obbligo di nomina del DPO;
- mancata applicazione di misure di sicurezza.
Il nuovo art. 166 c.2 Cod.Privacy (modificato dal d.lgs 101/18)
Il quadro normativo di riferimento SANZIONI
22
Sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni relative a:
•
trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (2-ter,),• raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione (2-quinquies, comma 1)
• trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante (2-sexies),
•trattamento relativo all’access oprocedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute (2-septies, comma 7)
• trattamenti di dati relativi a condanne penali e reati (2-octies),
•diritti delle persone decedute (2-terdecies, commi 1, 2, 3 e 4)
•diffusione di provvedimenti giudiziari contenenti dati personali (52, commi 4 e 5)
• trattamento di dati sanitari (75, 78, 79, 80, 82, 92, c.2, 93, c. 2 e 3),
•dati personali degli studenti (96),
• trattamenti a fini statistici e di ricerca scientifica (99, 100, c. 1, 2 e 4, 101, 105 c. 1, 2 e 4, 110bis, c. 2 e 3,
•trattamenti nell’ambito di lavoro (111, 111-bis, 116, c. 1),
•assicurazioni (120, c. 2),
• servizi di comunicazione elettronica (122, 123, c. 1, 2, 3 e 5, 124, 125, 126, 130, c. da 1 a 5, 131, 132, 132-bis, c. 2, 132-quater
Nel GDPR è presente un margine di discrezionalità circa la possibilità di infliggere una sanzione e la determinazione dell’importo della stessa.
Nello specifico, verranno esaminati di seguito alcuni criteri per la determinazione delle sanzioni amministrative pecuniarie, di cui all’articolo 83 paragrafo 2:
1) la “natura, gravità e durata della violazione”: compito dell’Autorità nazionale competente valutare le circostanze di specie, alla luce di tali criteri generali, e poi decidere se procedere con una misura correttiva, più o meno severa, sotto forma di sanzione pecuniaria.
Considerando 148: offre all’Autorità nazionale l’opportunità di sostituire la sanzione pecuniaria con un ammonimento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica”.
Tale inciso dimostra la tendenza del legislatore europeo di incoraggiare l’utilizzo delle sanzioni pecuniarie con un approccio “ponderato” ed “equilibrato”.
L’obiettivo ultimo rimane, infatti, quello di incentivare le società al rispetto della privacy by design e privacy by default, affidando lo strumento dell’applicazione di sanzioni pecuniarie così elevate, esclusivamente, al fine di reagire in maniera dissuasiva e proporzionata ad eventuali violazioni;
2) il carattere doloso o colposo della violazione”: valutazioni, circa l’esistenza di dolo o di colpa nella condotta, verranno effettuate sulla base di elementi oggettivi e sarà compito della giurisprudenza emergente definire ex ante “linee di demarcazione più chiare per valutare il carattere doloso di una violazione;
3) il “grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi”: il livello e l’entità della cooperazione con le autorità di controllo.
Esso potrà costituire un fattore determinante, nella scelta di applicare o meno una sanzione amministrativa e, eventualmente, fissarne l’ammontare, qualora siano state limitate o azzerate le ripercussioni negative sui diritti degli interessati che si sarebbero altrimenti verificate in mancanza di tale collaborazione.
Il quadro normativo di riferimento
SANZIONI
Il quadro normativo di riferimento SANZIONI
24
Art. 18 Definizione agevolata delle violazioni in materia di protezione dei dati personali . 1. In deroga all'articolo 16 della legge 24 novembre 1981, n. 689, per i procedimenti sanzionatori
riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all'articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l'adozione dell'ordinanza- ingiunzione, e' ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Fatti salvi i restanti atti del procedimento eventualmente gia' adottati, il pagamento potra' essere effettuato entro novanta giorni dalla data di entrata in vigore del presente decreto.
2. Decorsi i termini previsti dal comma 1, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata di cui all'articolo 14 della legge 24 novembre 1981, n. 689,
assumono il valore dell'ordinanza-ingiunzione di cui all'articolo 18 della predetta legge, senza obbligo di ulteriore notificazione, sempre che il contravventore non produca memorie difensive ai sensi del comma 4.
Il quadro normativo di riferimento
SANZIONI- D.Lgs. N. 101/2018
Art. 18 Definizione agevolata delle violazioni in materia di protezione dei dati personali ( segue) 3. Nei casi di cui al comma 2, il contravventore e' tenuto a corrispondere gli importi indicati negli atti di cui
al primo periodo del predetto comma entro sessanta giorni dalla scadenza del termine previsto dal comma 1.
4. Entro il termine di cui al comma 3, il contravventore che non abbia provveduto al pagamento puo' produrre nuove memorie difensive. Il Garante, esaminate tali memorie, dispone l'archiviazione degli atti comunicandola all'organo che ha redatto il rapporto o, in alternativa, adotta specifica ordinanza- ingiunzione con la quale determina la somma dovuta per la violazione e ne ingiunge il pagamento, insieme con le spese, all'autore della violazione ed alle persone che vi sono obbligate solidalmente.
5. L'entrata in vigore del presente decreto determina l'interruzione del termine di prescrizione del diritto a riscuotere le somme dovute a norma del presente articolo, di cui all'art. 28 della legge 24 novembre 1981, n. 689.
Il quadro normativo di riferimento SANZIONI
26
Estratto D.Lgs.196/2003
«Art. 33 (Misure minime). - 1. Nel quadro dei più generali obblighi di sicurezza di cui all'art. 31…… i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.»
«Art. 161 (Omessa o inidonea informativa all'interessato). - 1. La violazione delle disposizioni di cui all'art. 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.»
«Art. 162 (Altre fattispecie). - 1. La cessione dei dati in violazione……..e' punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro.
2. La violazione della disposizione di cui all'art. 84, comma 1, e' punita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro.
2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'art. 33 o delle disposizioni indicate nell'art. 167e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'art. 33 e' escluso il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'art. 154, comma 1, lettere c) e d), e' altresi' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
. 2-quater. La violazione del diritto di opposizione nelle forme previste dall'art. 130, comma 3-bis, e dal relativo regolamento e' sanzionata ai sensi del comma 2-bis del presente articolo.»
Il quadro normativo di riferimento
SANZIONI
Estratto D.Lgs.196/2003
«Art. 162-bis (Sanzioni in materia di conservazione dei dati di traffico). - 1. Salvo che il fatto costituisca reato e salvo quanto previsto dall'art. 5, comma 2, del decreto legislativo di recepimento………….nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro.»
«Art. 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico). - 1. La violazione delle disposizioni di cui all'art. 32-bis, comma 1, e' punita con la sanzione amministrativa del pagamento di una somma da 25.000 euro a 150.000 euro.
2. La violazione delle disposizioni di cui all'art. 32-bis, comma 2, e' punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo art. 32-bis, comma 2. Non si applica l'art. 8 della legge 24 novembre 1981, n. 689.
3. La sanzione amministrativa di cui al comma 2 non puo' essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'art. 164-bis, comma 4.
4. La violazione delle disposizioni di cui all'art. 32-bis, comma 7, e' punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'art.
32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'art. 32-bis
Il quadro normativo di riferimento SANZIONI
28
Estratto D.Lgs.196/2003
«Art. 163 (Omessa o incompleta notificazione). - 1. Chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi degli articoli 37° 38, ovvero indica in essa notizie incomplete, e' punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a
centoventimila euro.»
«Art. 164 (Omessa informazione o esibizione al Garante). - 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e157e' punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro.
«Art. 164-bis (Casi di minore gravità e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161,162, 162-ter,163e164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.
2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2,162-bise164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta.
3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.»
Il quadro normativo di riferimento
SANZIONI
Privacy: sanzioni ridotte per le contestazioni pendenti. Le istruzioni del Garante
30
Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per chiarire a soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti.
L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy.
Le FAQ sono disponibili da oggi sul sito dell’Autorità.
A partire dal 19 settembre chi intende avvalersi di questa facoltà potrà oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale stabilito per la sanzione.
Il pagamento dovrà essere effettuato entro il 18 dicembre 2018.
Potranno usufruire di questa speciale procedura quanti abbiamo ricevuto entro il 25 maggio 2018, data di piena applicazione del Regolamento Ue, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.
Tra le altre istruzioni, le FAQ del Garante specificano anche le modalità per il pagamento delle sanzioni, l’importo da pagare per ciascuna violazione commessa e i casi di esclusione dalle agevolazioni.
Roma, 1 ottobre 2018
Privacy: sanzioni ridotte per le contestazioni pendenti. Le istruzioni del Garante
1. Chi può usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante?
I contravventori che abbiano ricevuto, entro la data del 25 maggio 2018, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione immediata di cui all’art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del Codice, hanno la facoltà di definire i suddetti procedimenti mediante il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale previsto per la sanzione (cfr. art. 18 del decreto legislativo n. 101 del 10 agosto 2018).
4. Quali sono le modalità per il pagamento?
Il pagamento può essere effettuato tramite bollettino postale intestato a "Tesoreria Provinciale dello Stato di ROMA" il cui numero di conto corrente è 871012; oppure con versamento tramite istituti bancari, uffici postali ecc., utilizzando il seguente codice IBAN IT 31I0100003245348010237300 e indicando la seguente causale "Definizione agevolata sanzioni del __(data contestazione)___ – capo X capitolo 2373 – Contravventore: _____________”, unitamente al numero della contestazione, laddove presente.
9. E’ necessario fornire prova al Garante del pagamento effettuato?
No, non è necessario. E’ comunque possibile comunicare il versamento effettuato o trasmettere copia dello stesso, facendo riferimento all’indirizzo di posta elettronica protocollo@pec.gpdp.it.
Privacy: sanzioni ridotte per le contestazioni pendenti. Le istruzioni del Garante
32
11. Cosa succede se non mi avvalgo della definizione agevolata entro il 18 dicembre 2018 e non presento nuove memorie difensive entro il 16 febbraio 2019?
In tale ipotesi occorre distinguere tra due differenti tipologie di situazioni, di seguito evidenziate.
11.a. L’atto di contestazione contiene la determinazione della sanzione
Nel caso in cui l’atto di contestazione contenga la determinazione della sanzione il decreto n. 101 del 10 agosto 2018 prevede che, a seguito della mancata definizione agevolata del procedimento sanzionatorio entro il 18 dicembre 2018, al contravventore sia concesso l’ulteriore termine di 60 giorni per il pagamento spontaneo dell’intero importo, pari a quello contenuto nell’atto di contestazione, in quanto quest’ultimo assume automaticamente il valore dell’ordinanza-ingiunzione di cui all’articolo 18 della legge 689/1981 (art. 18, comma 2, del decreto). Quindi il contravventore, decorso il termine del 18 dicembre 2018 per la definizione agevolata, ha tempo fino al 16 febbraio 2019 per versare l’intero importo determinato nell’atto di contestazione.
Una volta decorso l’ulteriore termine del 16 febbraio 2019 senza che il contravventore abbia
spontaneamente provveduto al pagamento dell’intero importo e senza che abbia presentato nuove memorie difensive, l’Ufficio procederà all’iscrizione a ruolo dell’intero importo indicato nell’atto di contestazione, in quanto quest’ultimo, come detto, assume automaticamente il valore di ordinanza-ingiunzione per effetto dell’art. 18, comma 2, del decreto 101/2018, e costituisce pertanto titolo esecutivo, senza che sia necessaria alcuna ulteriore notificazione al contravventore stesso.
sanzione da applicare.
34
11.b. L’atto di contestazione non contiene la determinazione della sanzione
Alcune tipologie di atti di contestazione non contengono la determinazione della sanzione: si tratta di tutti quei casi in cui non è ammesso il pagamento in misura ridotta ai sensi dell’art. 16 della l. 689/1981; tipicamente, le violazioni relative alle misure minime di sicurezza, di cui agli artt. 33 e 162, comma 2-bis, del Codice, e quelle relative a banche dati di particolare rilevanza o dimensioni, di cui all’art. 164-bis, comma 2, del Codice. In tali casi l’atto di contestazione reca solo i minimi e massimi edittali per la violazione rilevata ed è privo dell’importo della sanzione, necessario affinché l’atto stesso assuma il valore di ordinanza-ingiunzione.
Pertanto, relativamente a tali casi, decorso il termine del 16 febbraio 2019, il Garante procederà comunque all’adozione di un provvedimento di ordinanza-ingiunzione (o di archiviazione), al fine della concreta quantificazione della sanzione da applicare.
13. Come vengono destinate le somme derivanti dalle definizione agevolata dei procedimenti sanzionatori?
Le somme derivanti dalla definizione agevolata dei procedimenti (al pari dei proventi derivanti dalle sanzioni previste dal Codice) sono assegnate al bilancio dello Stato. Tali somme, nella misura del
cinquanta per cento del totale annuo, sono poi riassegnate – ai sensi dell’art. 166, comma 8, del Codice, come modificato dall’art. 15 del d.lgs. 101/2018 – al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del
Regolamento svolte dal Garante.
Deliberazione del 1° febbraio 2018 - Attività ispettiva di iniziativa curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-giugno 2018
DELIBERA:
1. limitatamente al periodo gennaio-giugno 2018, l´attività ispettiva di iniziativa curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:
a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell´ambito di:
•trattamenti di dati sanitari effettuati dalle ASL in relazione al trasferimento degli stessi in favore di terzi per il loro utilizzo a fini di ricerca;
•trattamenti effettuati dall´ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
•trattamenti di dati personali effettuati per il rilascio dell´identità federata (SPID);
•trattamenti di dati personali effettuati da società per attività di telemarketing in relazione alle numerose segnalazioni pervenute all´Autorità;
•trattamenti di dati effettuati da società per attività di rating sul rischio e sulla solvibilità delle imprese.
b) alla verifica sull´adozione delle misure di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
c) a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell´obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sulle persone da esso interessate;
Deliberazione del 1° febbraio 2018 - Attività ispettiva di iniziativa curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-giugno 2018
2. l´attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente ai punti a), b) e c) di cui al punto 1),
n. 155 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza, dei quali, 15 con riferimento alla lettera a), 20 con riferimento alla lettera b) e 120 con riferimento alla lettera c).
Resta fermo che l´Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo in ordine a segnalazioni e reclami (artt. 141, 142 e 143 del Codice), nonché a ricorsi (art. 145 del Codice), con particolare riguardo a quelle riguardanti violazioni di maggiore gravità.
L´Ufficio informerà il Collegio sull´individuazione dei soggetti di cui ai punti a), b) e c) e riferirà, alla fine del semestre sull´andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a
qualunque titolo compiute, ai sensi di quanto previsto dall´art. 9, comma 4, lettera e) del Regolamento n.
1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).
36
Le azioni ispettive
Il piano delle ispezioni per il semestre in corso, è il primo ad essere stato varato dal Garante dopo la piena applicazione del GDPR.
Sotto la lente dell’Autorità:
• i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni,
•le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach),
• i trattamenti di dati per attività di telemarketing.
Le ispezioni vengono svolte anche in collaborazione con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza.
I controlli vertono:
• sul rispetto degli obblighi di informativa,
•sull’acquisizione del consenso nei casi previsti,
•sul periodo di conservazione dei dati
•sulle misure di sicurezza per la loro protezione
tengono conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d’impatto e di designazione del Data Protection Officer
Considerando 149 –GDPR:
“Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idemquale interpretato dalla Corte di giustizia”.
Gli articolo del d.lgs 196/03 novellato Le fattispecie
• 167 (Trattamento illecito dei dati)
• 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) l
•167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala)
•168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) l 170 (Inosservanza dei provvedimenti del Garante)
La punibilità ricorre nei casi di dolo volto a trarre per sé o per altri profittoe nei casi di comportamento volto ad arrecare ad altri un danno
Il quadro normativo di riferimento SANZIONI PENALI
38
Oggetto di tutela: il trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati.
Disciplina : i principi e le condizioni per procedere al legittimo trattamento di tali dati.
Dato personale: definizione
• qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
• si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
Interessato: persona alle quali i dati si riferiscono con riferimento ad uno studio professionale:
clienti, colleghi, collaboratori, dipendenti, fornitori tra cui consulenti.
GDPR
Principio di responsabilizzazione “accountability”:
Il titolare del trattamento deve porre in essere misure tecniche e organizzative
adeguate per garantire che il trattamento sia effettuato conformemente al regolamento.
Non sono sufficienti le adesioni a codici di condotta o ad un meccanismo di certificazione.
L’adeguatezza delle misure si valuta in base alla natura, all’ambito, al contesto, alle finalità, probabilità e gravità dei rischi caratterizzanti l’ambito in cui si opera.
Il titolare pertanto deve precostituire:
un apparato documentale: idoneo a garantire la protezione dai rischi dal punto di vista formale,
un apparato di misure FISICHE E ORGANIZZATIVE che proteggano effettivamente gli individui e i loro dati.
In generale….
40
Titolari e responsabili hanno obbligo di adottare comportamenti positivi per dimostrare la concreta adozione di misure
Autonomia e possibilità di Personalizzazione delle procedure
Data protection BY DEFAULT and BY DESIGN:
ossia necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e, al tempo stesso, tutelare i diritti degli interessati tenendo conto del contesto e dei rischi specifici.
Assume importanza la specifica previsione dei rischi, che dovrà essere analizzata tramite la valutazione di impatto privacy (DPIA) e assicurata dalla tenuta di un registro dei trattamenti.
L’intervento dell’Autorità di controllo sarà ex post .
In generale….
L’art. 5, par.1 del GDPR rubricato “Principi applicabili al trattamento dei dati personali” prevede: “1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e
successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1,
considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
c) esatti e, se necessario, aggiornati; devono essere adottate tutte le
misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
Art. 5
42
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici,
conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di
misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della
conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.
Il quadro normativo di riferimento
IDONEA BASE GIURIDICA PER IL TRATTAMENTO DATI
PERSONALI • Domande da porsi:
• Esistono le condizioni di liceità per trattare i dati?
• Conosco i dati personali dei miei clienti ?
• Quanto tempo metto per
cancellarli/modificarli/renderli loro accessibili?
• In che modo?
• Chi prenderà la decisione? La protezione che avrò è adeguata?
I fondamenti di liceità del
trattamento sono indicati all’art.
6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy
Ogni trattamento deve trovare fondamento in un’idonea base giuridica
44
quando l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento ;
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica ;
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento ; il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (questo punto non è applicabile però al
trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti)
Leicità del trattamento dei dati personali
Può costituire una base giuridica lecita del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento; ad esempio
• quando l’interessato è un cliente;
• quando l’interessato è alle dipendenze del titolare del trattamento;
• quando i dati dell’interessato sono trattati ai fini strettamente necessari a fini di prevenzione delle frodi
• quando i dati dell’interessato sono trattati per finalità di marketing diretto
Interesse legittimo del professionista
46
Negli Studi Professionali il titolare del trattamento è:
1. attività svolta individualmente : Commercialista
2. attività svolta congiuntamente : entrambi i professionisti ovvero i contitolari 3. attività svolta in forma associata : il titolare è la società nel suo complesso
Obblighi :
• aderire ai codici di condotta di cui all’art. 40 ovvero al meccanismo di certificazione di cui all’art. 42, al fine di dimostrare il rispetto degli obblighi facenti capo ad esso
•adottare misure tecniche e organizzative adeguate a garantire :
-che il trattamento sia effettuato in modo conforme al regolamento ( le misure devono essere riesaminate e aggiornate)
-pseudonomizzazione…minimizzazione (attuare in modo concreto i principi di protezione dei dati;
-garantire che siano trattati solo i dati personali necessari, adottando procedure predefinite ed automatiche che garantiscano la giusta durata del trattamento dei dati e soprattutto il mancato accesso da parte di un numero indefinito di persone fisiche, non abilitate;
- curare il registro dei trattamenti svolti - formare debitamente il personale
TITOLARE DEL TRATTAMENTO – Art.4 n. 7 Reg.:
1. Fornire l’informativa – (considerando 60 + Artt. 13/14 Reg.)
2. Acquisire il consenso o verificare altro presupposto di liceità – (considerando 32 + Art. 6 Reg.)
3. Conferire apposite lettere di nomina
4. Adottare le misure di sicurezza idonee alla protezione dei dati – (considerando 83 + Art. 32 Reg.)
5. Effettuare eventuali notificazioni al Garante della Privacy –( considerando 85 + Art. 33 Reg.)
6. Istituire Registro dei trattamenti e registro di data breach
Adempimenti di natura formale richiesti al titolare del trattamento.:
48
Titolari e responsabili hanno obbligo di adottare comportamenti positivi per dimostrare la concreta adozione di misure
VI E’ OBBLIGO PER GLI STUDI PROFESSIONALI:
Deve contenere gli elementi indicati negli artt. 13 e 14 Reg.
Va fornita alle persone fisiche cui si riferiscono i dati trattati, non solo ai clienti, ma anche ai dipendenti, ai collaboratori di Studio ed agli utenti del sito web.
Nell’organizzazione dello studio il professionista deve raccogliere i dati in modo lecito e secondo correttezza
Il trattamento dei dati può essere effettuato in via cartacea o mediante strumenti informatici.
Informativa
GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva
inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Il trattamento dei dati personali è ammesso solo con il consenso espresso liberamente dall’interessato, con riguardo ad un trattamento chiaramente individuato.
È necessario che sia richiesto per iscritto, previa comunicazione dell’informativa.
Il professionista non può trattare dati senza consenso quando fanno parte della categoria dei c.d. “dati PARTICOLARI”.
Non occorre chiedere il consenso dei clienti quando si tratta di dati «comuni» il cui trattamento è necessario per adempiere agli obblighi previsti dalla legge o derivanti dal contratto.
Inoltre, non occorre richiedere il consenso quando il trattamento dei dati sensibili è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria o stragiudiziale.
Acquisire il consenso o verificare altro presupposto di liceità
50
l titolare deve nominare i soggetti autorizzati e i responsabili, con specifica indicazione dei compiti ad essi delegati.
All’interno di uno Studio, potrebbe essere utile identificare le seguenti figure:
• autorizzato alla reception/segreteria (anche indirizzamento e formazione fascicoli)
• autorizzato al controllo dei dati
• autorizzato alla registrazione e all’eventuale protocollo (se applicabile)
• autorizzato all’archiviazione
• autorizzato al controllo per la preparazione alla restituzione dei documenti
Conferire apposite deleghe o lettere di nomina
Considerando 83: Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la
distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Misure di sicurezza adeguate
52
A norma dell’art. 32 Reg., oggi, è necessario:
- aggiornare periodicamente le caratteristiche dell’individuazione dell’ambito del trattamento consentito agli autorizzati;
- prevedere procedure per un'idonea custodia di atti e documenti;
-prevedere procedure per la conservazione di determinati atti in archivi.
Esempi pratici:
Tenuta dei fascicoli relativi ai clienti : non occorre depennare il nome dei clienti dalla copertina dei fascicoli cartacei, utilizzando numeri identificativi.
Resta invece necessario adottare opportune modalità per rendere i fascicoli e la relativa documentazione accessibile agli autorizzati al trattamento nei casi e per le finalità previsti.
( vedi indicazioni fornite dal Garante della privacy, con il parere del 3 giugno 2004 reso al Consiglio Nazionale Forense23)
Misure di sicurezza adeguate
Esempi pratici:
Utilizzo di software : si possono reperire sul mercato, se si ritiene opportuno, eventuali tool software per monitorare lo stato del trattamento dei dati personali che consentano, anche , la redazione di parte della documentazione richiesta, ai fini dell’adempimento degli obblighi derivanti dal GDPR.
E’ importante che la norma venga compresa, da ciascun dominus di studio, in modo che il ricorso a consulenze specialistiche configuri un’opzione residuale.
Periodo di conservazione: la sua determinazione deve avvenire nel rispetto del principio di limitazione della conservazione dei dati
La conservazione dei dati potrà estendersi ad un arco temporale non superiore a quello strettamente necessario per il raggiungimento delle finalità per cui i dati sono trattati.
Il criterio più affidabile per la determinazione del periodo di conservazione consiste nel riferirsi alle norme di settore dell’ordinamento che impongono, direttamente o indirettamente, obblighi di conservazione in capo ai professionisti.
Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il professionista dovrebbe stabilire ex ante un termine per la cancellazione o per la
verifica periodica del rispetto del principio di limitazione.
Misure di sicurezza adeguate
54
Esempi pratici:
Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il professionista dovrebbe stabilire ex ante un termine per la cancellazione o per la
verifica periodica del rispetto del principio di limitazione.
In linea generale: evidenziare sempre nel contratto concluso con il cliente il periodo di conservazione e, in assenza di riferimenti normativi, i criteri necessari ai fini
dell’individuazione del periodo di conservazione.
Provvedere periodicamente alla restituzione dei documenti , secondo quanto
concordato con il cliente , con espressa manleva dall’obbligo di custodia degli stessi.
Eventuale nomina del Data Protection Officer
Misure di sicurezza adeguate
Eventuale nomina del Data Protection Officer
sono tenuti alla designazione del responsabile della protezione dei dati personali (Data Protection Officer) il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c) del GDPR, ovvero le cui attività principali consistano in trattamenti che richiedono, per loro natura, ambito di applicazione e/o finalità, il monitoraggio regolare e sistematico degli
interessati su larga scala o in trattamenti, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il riferimento è ai dati di cui all’art. 9 del GDPR, ovverosia ai dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale
Varrà evidenziare che il Garante non ritiene obbligatoria la nomina del DPO “in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale”. Nondimeno, tale nomina “in ogni caso, resta comunque raccomandata, anche alla luce del principio di
“ accountability”che permea il Regolamento”25.
Si suggerisce in ogni caso di indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento (c.d. “punto di contatto”) sia ai fini di eventuali verifiche e controlli sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.
Misure di sicurezza adeguate
56
Pre-analisi e piano progettuale art. 30 Mappatura trattamenti
art. 32-33-34-35 Effettuare una valutazione del livello di sicurezza adeguato ai
rischi ed una valutazione di impatto (obbligatoria quando vi sono rischi elevati per i diritti e le libertà degli interessati – es. utilizzo nuove tecnologie - ma
consigliabile in ogni caso). Darne esecuzione. Prevedere una procedura per il data breach (72 ore per denunciare la violazione diritti e lib. int. all’autorità ed in caso di rischi elevati anche agli interessati)
art. 37-38-39 verifica nomina DPO e contratto adeguato
art. 5-28-29 Nomina responsabili (interno, esterno, ecc), sub-responsabili ed
autorizzati
art . 30 Registro dei trattamenti (in ogni caso consigliato) art. 39 Formazione per chi è autorizzato al trattamento
art.6-7-8-9-12-13-14 Informativa agli interessati e consenso : verifica esistenti +
adeguatezza nuovi concetti + minori
art. 44-50 Verifica condizione liceità se trattamento dato personali è extra UE
Da sapere e …Cosa fare???
Ambiti regolamentari
(per i quali occorre raggiungere la conformità dell’organizzazione dello studio, con
azione di monitoraggio per facilitare la verifica della maggiore o minore
adeguatezza della propria organizzazione al regolamento stesso9
• Dati personali trattati
• Diritti degli interessati
• Accuratezza e conservazione
• Requisiti di trasparenza
• Altri obblighi del titolare
• Sicurezza del trattamento
• Data breaches
• Trasferimento dati personali
Quali sono gli ambiti regolamentati???
58
