Le parti in gioco

Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);

 

Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);

 

Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).

Attività della Guardia di Finanza

Il 25 maggio 2018 ha dato poi ufficialmente inizio alla nuova privacy ma anche all' attività di controllo della Guardia di Finanza. Nello specifico, le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP:

  • nomina del DPO, il responsabile della protezione dati;

  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);

  • registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

Il ruolo centrale del DPO

Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO.

L’attività ispettiva della Guardia di Finanza sarà varia: o sulla base dei programmi messi a punto dal Garante della Privacy, che di norma dispone due programmi annuali, ovvero potranno esser attuate dopo una segnalazione o un reclamo (fatta da lavoratori, utenti, clienti, sindacati ecc).

L’attività di controllo sarà slegata da una check list ma dovrà esser effettuata una constatazione con l’acquisizione di una serie di elementi.

 

Sanzioni Privacy

Non sarà la Guardia di Finanza ad applicare le sanzioni in caso di violazione delle regole sulla privacy. L’attività ispettiva dovrà essere effettuata di modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR.

Se il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.

Le sanzioni saranno applicate sulla base dei principi stabiliti dal GDPR, in coordinato con lo schema di decreto legislativo approvato in CDM il 21 marzo 2018 per cui si attende ancora l’approvazione definitiva.

In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro).

Anche la scelta di non fare una determinata cosa potrà essere legittimata, ma in ogni caso dovrà essere dimostrata. In sede di controllo bisognerà rendere conto alla Guardia di Finanza delle misure messe in atto per il rispetto del GDPR.

Non soltanto bisognerà trattare i dati secondo le regole previste dal GDPR ma bisognerà dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi. I titolari del trattamento dei dati dovranno render conto in maniera responsabile di quanto fatto.

In particolare, il Corpo collabora all’attività ispettiva condotta dal Garante attraverso:

- il reperimento di dati e informazioni sui soggetti da controllare;

- l’assistenza nei rapporti con le Autorità Giudiziarie;

- la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;

- lo sviluppo delle attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale o amministrativa

- la contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;

- l’esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici.

Il GDPR prevede solo due tipologie di sanzioni amministrative:

  • fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

  • fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.