Parti coinvolte nella struttura privacy

Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);

 

Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);

 

Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).

Attività di verifica e controllo della Guardia di Finanza

Il 25 maggio 2018 ha dato ufficialmente inizio alla nuova privacy e contestualmente all' attività di controllo e verifica ispettiva da parte della Guardia di Finanza, su indicazione del Garante della Privacy italiano. Nello specifico, le ispezioni sono state avviate a far data di applicazione della normativa UE sui adempimenti obbligatori e fondamentali per l’adeguamento al GDPR e, sinteticamente, possono riguardare:

  • verifica adeguatezza informative;

  • verifica documentale atti di designazione nomine;

  • verifica adeguatezza privacy policy in essere presso le strutture;

  • nomina del DPO, il responsabile della protezione dati (ove prevista);

  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk etc);

  • verifiche registri dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto;

  • verifica analisi rischi (DPIA (Data protection Impact Assessment - Valutazione d’impatto della protezione dei dati)  disciplinata dagli articoli 35 e 36 del GDPR;

  • verifiche tecnico informatiche misure di prevenzione in essere presso le strutture

  • verifica modalità e adeguatezza data retention.

La figura del Responsabile Protezione Dati (RPD - DPO)     

Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO acronimo inglese di Data Protection Officier (traduzione letterale di Responsabile Protezione Dati RPD).

Brevemente il DPO ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo disposti dall'art.39 del GDPR.  
Fattivamente il DPO è un consulente tecnico e legale, con potere esecutivo. Il suo ruolo operativo è in tal caso doppio, poiché non solo consiglia e sorveglia, ma funge anche da intermediario legittimato dalla nomina e dal regolamento UE fra l’organizzazione e l’Autorità Garante. 
Sinteticamente i suoi compiti principali sono e sono tre: informare, sorvegliare e cooperare.

Attenzione, un buon DPO è un sorvegliante facilitatore e dovrà aver capacità di adeguatezza e comprensione del ruolo con riferimento al contesto in cui opera. Proprio per questa ragione è utile sin d'ora suggerire che la figura scelta per ricoprire il ruolo dovrà avere cognizione in materia informatico giuridica così da affiancare il Titolare e l'organizzazione studiando soluzioni operativamente praticabili ed al contempo in linea con le disposizione della normativa in esame.

Sanzioni Privacy

Non è la Guardia di Finanza ad applicare le sanzioni in caso di violazione delle regole sulla privacy. L’attività ispettiva dovrà essere effettuata di modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR. Qualora il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.

IN SINTESI

il regolamento UE divide le violazioni della privacy in due ampie categorie:

Violazioni privacy meno gravi con conseguente ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato mondiale dell’impresa. 

Possono rientrare in questa categoria le violazioni relative alle modalità di esecuzione del trattamento dati prescritte dal GDPR:
- Mancanza del  registro del trattamento (del titolare o del responsabile del trattamento);
- Mancata nomina del DPO (nei casi in cui è prevista l'obbligatorietà del ruolo);
- Mancata valutazione d’impatto DPIA (nei casi in cui è prevista l'obbligatorietà per la struttura);
. Omessa comunicazione alle Autorità di violazione dati (databreach);
- Violazione degli obblighi dell’organo di certificazione.

Violazioni privacy gravi con conseguente una multa fino a 20 milioni di euro, o sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa.

Possono rientrare in questa categoria le violazioni ai principi generali disposti dal GDPR: 
- Mancato consenso al trattamento (nei casi in cui sia richiesto consenso esplicito dell'interessato)
- Violazione dei diritti dell’interessato;
- Mancanza e/o inadeguatezza dell’informativa privacy;
- Violazione delle disposizioni in ordine al trasferimento dei dati a Paesi Terzi (fuori UE).

Tuttavia il GDPR non indica l'importo minimo delle sanzioni, ma ne stabilisce i criteri di determinazione della sanzione che dovrà elevata secondo i criteri di effettività, dissuasività e proporzionalità. Il regolamento pertanto stabilisce i criteri di calcolo relativi al quantum della sanzione secondo le valutazione di:

- gravità del danno
- dolo o colpa del titolare o del responsabile nel commettere l’infrazione
- misure adottate dal titolare o dal responsabile per attenuare il danno agli interessati
- reiterazione dei fatti illeciti relativi al trattamento
- concorso di violazioni

PIU SEMPLICEMENTE:

In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro).

Non solo occorrerà trattare i dati secondo le disposizioni del GDPR ma occorrerà altresì dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi. I titolari del trattamento dei dati dovranno render conto in maniera responsabile di quanto fatto.

In particolare, il Corpo collabora all’attività ispettiva condotta dal Garante attraverso:

- il reperimento di dati e informazioni sui soggetti da controllare;

- l’assistenza nei rapporti con le Autorità Giudiziarie;

- la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;

- lo sviluppo delle attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale o amministrativa

- la contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;

- l’esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici.

Come già anticipato il GDPR prevede solo due tipologie di sanzioni amministrative che si possono coì riepilogare:

  • fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

  • fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.