Privacy

Consulenza Privacy GDPR e Videosorveglianza.

Informativa sui Cookie

Informativa sulla Privacy

Informativa Legale

La normativa sulla privacy è cambiata.

Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del GDPR, il Regolamento Europeo 2016/679, cioè il Regolamento Europeo in materia di protezione dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati.

Il GDPR è entrato in vigore il 25 maggio 2016 e si applica in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende/organizzazioni dovranno adeguarsi alla nuova “legge sulla privacy”.

Sicuramente la Sua organizzazione ha già affrontato l’applicazione del D.lgs 196/03 (codice della privacy), ma ora tale norma verrà sostituita/integrata dal nuovo Regolamento Europeo che porta una serie di novità, tra le più significative:

Il principio della Responsabilità (accountability) che comporterà l’onere di dimostrare l’adozione di tutte le misure inerenti la protezione dei dati, adottate in conformità al Regolamento Europeo;
I Registri delle attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare o del responsabile;
“Le valutazioni del rischio” o meglio Le valutazioni d’impatto sulla protezione dei dati, o Privacy Impact Assessment (art. 35) in caso di trattamenti rischiosi, oppure a seguito di verifiche preliminari per diverse circostanze da parte del Garante; attività ormai consolidata in altri ambiti (sistemi di gestione qualità, sicurezza, ecc.).
La designazione del Data Protection Officer (interno o esterno) (art. 37), obbligatorio per autorità o organismi pubblici (eccetto le autorità giudiziarie), per le aziende che richiedono il monitoraggio dei dati su larga scala, oppure aziende che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici;
Sanzioni particolarmente gravose che possono arrivare sino al 2% del fatturato aziendale.

Lo Studio Spada effettua consulenza Privacy GDPR e in generale per tutti gli adempimenti connessi al nuovo Regolamento Europeo in materia di protezione dei dati. Possiamo diventare il tuo riferimento per la consulenza privacy.

Cosa Facciamo.

Aiutiamo i nostri clienti a migliorare la Sicurezza dei Sistemi Informatici aziendali e li supportiamo nella preparazione degli adeguamenti normativi richiesti in ambito sicurezza.
Supportiamo i nostri clienti nel disegno e nella definizione della struttura organizzativa dei processi aziendali, per una corretta gestione della Sicurezza delle Informazioni, con l’introduzione di policy e procedure

Effettuare analisi dei dati trattati, classificandoli per tipologia di rischio e per le aree di pertinenza interessate
Individuare tramite la "tabella natura e finalità dei dati", l’elenco dei dati trattati classificati per le aree di competenza, tramite il file "Classificazione Analisi Rischi - Banche Dati"
Individuare figure coinvolte sia in ambito specifico (videosorveglianza) che Privacy
Nominare il Responsabile della Sicurezza dei dati e della Privacy
Nominare gli incaricati al trattamento dei dati, (in ambito specifico, Videosorveglianza) tramite lettera di incarico
Informare le persone o le società interessate, con documento apposito, riguardo le ragioni della videosorveglianza
Redigere, informare e consegnare l’informativa per i dipendenti e ricevere relativo consenso al trattamento dei dati
Nominare i Responsabili dei dati trattati all'esterno (consulente del lavoro, medico etc...)
Redigere i Registri del Trattamento Dati
Valutazione del rischio
Richiedere autorizzazione (Istanza) per l’uso della videosorveglianza alla Direzione Provinciale del Lavoro

Formazione del Personale.

Contattaci per un preventivo. Potremo valutare con te le soluzioni più efficienti ed efficaci all'adeguamento a quanto in esso riportato.

Sanzioni amministrative.

In base all'articolo 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. In base al principio di coerenza, l'intervento delle autorità dovrà essere equivalente tra i vari Stati.

Al momento di infliggere una sanzione pecuniaria, l'autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l'eventuale importo:

l’adesione ai codici di condotta o ai meccanismi di certificazione.

a natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente) tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l'autorità può procedere con un semplice avvertimento);
il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave);
se la violazione ha portato un profitto al titolare;
le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
le categorie di dati personali interessate dalla violazione;
la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

Sanzioni penali.

Il legislatore italiano, col decreto di adeguamento del Codice Privacy, ha sostanzialmente confermato le fattispecie penali previste dal Codice, introducendo la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Quindi non si terrà contro del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati, compreso il danno d’immagine e reputazionale della vittima, in tal modo coprendo le fattispecie di revenge porn.

I resti previsti dal Codice sono:

il trattamento illecito dei dati,
la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala,
l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala,
la falsità nelle dichiarazioni al garante,
l'interruzione dell'esecuzione di compiti e poteri del garante,
l'inosservanza dei provvedimenti del garante.

L'art. 167 del Codice stabilisce che: “Quando per lo stesso fatto è applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita”. La norma, però, appare del tutto indeterminata rispetto ai criteri per stabilire la diminuzione.

Inoltre, i reati previsti dall’art. 167 bis e 167 ter del Codice hanno come elemento caratterizzate il trattamento su larga scala, concetto già introdotto dal regolamento e sostanziato dai pareri del Working Party art. 29 (oggi European Data Protection Board). L’attuazione della norma penale potrebbe creare problemi di tassatività essendo il concetto estraneo alla normativa criminale.

Le violazioni.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
- inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell'Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
- inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
- inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:
- inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
- inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
- inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
- inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
- inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un'arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all'azienda, in modo da non costringerla a chiudere l'attività.

Sanzioni correttive.

L'autorità di controllo ha il potere di irrogare sanzioni correttive. Essi consistono nel:

rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali;
revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
infliggere le sanzioni amministrative pecuniarie;
ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Impugnazioni.

I provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all'autorità giudiziaria.

Richiedi un preventivo per ricevere la Consulenza necessaria per l’adeguamento alla nuova normativa Privacy.

ISCRIVITI ALLA NOSTRA NEWSLETTER

VUOI APPROFONDIRE QUALCHE ARGOMENTO?

Per ricevere guide, contenuti di valore e consigli utili alla crescita professionale nel mondo della sicurezza, promozioni, inviti a webinar e tanto altro!