17 Feb GDPR, la situazione a 18 mesi dal Decreto 101/2018: la vostra azienda è in regola?
Il 19 settembre 2018 è diventato ufficialmente operativo il Decreto legislativo 10 agosto 2018, n.101 che definisce l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU Serie Generale n.205 del 04-09-2018).
Le disposizioni incluse nel Decreto rivoluzionano la privacy, introducendo diverse novità. Quelle che possono impattare nell’immediato il lavoro di aziende e liberi professionisti sono quelle legate alle sanzioni.
SANZIONI PENALI
Vengono introdotti reati più specifici in relazione al “Trattamento dei dati”. Le sanzioni prevedono misure che vanno da 6 mesi fino ad arrivare ai casi più gravi a 6 anni di reclusione. I reati in particolare possono riferirsi a: Trattamento illecito dei dati (reclusione 1 a 3 anni); Comunicazione e diffusione illecita dei dati personali oggetto di trattamento su larga scala (reclusione da 1 a 6 anni); Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (reclusione da 1 a 4 anni); Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (da 6 mesi a 3 anni); Inosservanza dei provvedimenti del Garante (da 3 mesi a 2 anni).
SANZIONI AMMINISTRATIVE PECUNIARIE
Il Decreto 101/2018 stabilisce l’applicazione di sanzioni di minore entità, che possono raggiungere i 10 milioni di euro per i singoli e per le aziende fino al 2% del fatturato globale annuo riguardanti la violazione degli obblighi previsti per i titolari ed i responsabili; e sanzioni di maggiore entità, che possono arrivare a 20 milioni di euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale che può essere anche fuori dall’Europa.
LE ALTRE NOVITA’
- Modalità semplificate per l’adempimento degli obblighi del titolare del trattamento;
- Iscrizione sui social solo dopo i 14 anni (oppure con autorizzazione dei Genitori);
- Via libera al trattamento dei dati genetici, biometrici e relativi alla salute;
- Per chi subisce violazione della privacy, non più lo strumento del ricorso ma il reclamo al Garante Privacy o l’intervento dell’autorità giudiziaria;
- Obbligo per tutte le Pubbliche Amministrazioni di nominare il Data Protection Officer (DPO);
Il Garante aveva stabilito una prima fase transitoria di 8 in cui l’applicazione delle sanzioni amministrative pecuniarie veniva attenuata. Ormai conclusa questa fase nella primavera del 2019, le disposizioni vengono applicate in modo completo ed intransigente.
E non sono mancati i primi casi di multe pesanti per le aziende italiane ed europee.
ITALIA
1) Il nostro Garante per la protezione dei dati personali ha comminato all’Associazione Rousseau, quale trasgressore del trattamento dei dati, il pagamento di euro 50.000 a titolo di sanzione per la violazione del Regolamento UE 2016/679.
2) Altro esempio riguarda Facebook che il Garante ha sanzionato per 1 milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”, la società che attraverso un’app per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016.
FRANCIA, SPAGNA, GERMANIA
1) La CNIL – Commission Nationale de l’Informatique et des Libertés, ha sanzionato per 400.000 euro una società immobiliare per illecito trattamento dei dati personali – e mancato rispetto del principio di limitazione della conservazione – sul proprio sito web.
2) La Agencia Española de Protección de Datos (AEPD) – l’autorità privacy iberica – ha sanzionato per 250.000 euro “La Liga” di calcio, per l’illecito utilizzo – tramite l’APP ufficiale – di GPS e microfono dei dispositivi mobili degli utenti, giustificate dal contrasto alla pirateria.
3) In Germania, un noto social network è stato multato per non aver cifrato le password degli utenti contenute all’interno del suo database. La sicurezza del sito è stata compromessa e in seguito alla scoperta l’azienda si è autodenunciata al garante tedesco.
In questo scenario, la necessità per aziende ed enti pubblici di mettersi a norma è sempre più pressante. Il rischio di incorrere in forti sanzioni penali e amministrative è concreto e potrebbe significare la fine dei giochi: l’out of business, il fallimento.
Ecco perché è urgente un assessment approfondito ad opere di esperti riconosciuti che stabilisca lo stato dell’arte sul trattamento dei dati e il loro rispetto all’interno dell’azienda. E, in una fase successiva, l’individuazione delle politiche atte ad adeguare l’azienda stessa al Codice.
T.net S.p.a è un partner esperto nell’ambito della Security e Data Protection, sia in termini tecnologici che procedurali e normativi, pronto a garantirvi la massima tranquillità nell’affrontare il percorso di adozione di tutti gli elementi necessari e sostanziali di adeguamento al General Data Protection Regulation (GDPR) – Regolamento (UE) 2016/679 e nell’individuare i rischi ed i limiti dei Vostri Sistemi Informativi.