linkedinPx GDPR e mancato adeguamento alla nuova normativa: i primi provvedimenti del Garante della privacy - Noverim

GDPR e mancato adeguamento alla nuova normativa: i primi provvedimenti del Garante della privacy

GDPR e mancato adeguamento alla nuova normativa: i primi provvedimenti del Garante della privacy

GDPR e mancato adeguamento alla nuova normativa: i primi provvedimenti del Garante della privacy
A distanza di quasi tre mesi dalla piena operatività del GDPRRegolamento UE n. 2016/679 - risulta evidente l’attività di intensificazione dei controlli e delle operazioni ispettive pianificate dal Garante della Privacy nei confronti di aziende pubbliche e private che eseguono trattamenti di dati di persone fisiche, soprattutto su larga scala.
In particolare, con delibera del 26 luglio 2018 l’Autorità ha reso noto che, per il periodo luglio-dicembre 2018, verrà svolta attività ispettiva di iniziativa a cura del Garante, anche per il tramite della Guardia di Finanza.
Le operazioni hanno ad oggetto alcune procedure di accertamento già avviate e concernenti profili di interesse generale per categorie di interessati nell’ambito di:


  • trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;

  • trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione;

  • trattamenti di dati personali effettuati da società per attività di telemarketing;


L’attività ispettiva si sostanzierà, inoltre, nell’esecuzione di controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee, diretti alla verifica della liceità dei trattamenti intrapresi, della sussistenza delle condizioni per il rilascio del consenso qualora il trattamento sia basato su tale presupposto, del rispetto dell’obbligo di informativa verso tutti i potenziali destinatari nonché della durata della conservazione dei dati trattati.
 
Non può ignorarsi il carattere esortativo alla conformità del suddetto provvedimento, giacché l’accertamento all’esito di tali verifiche, del mancato adempimento alla nuova normativa comporterà, difatti, l’applicazione di pesanti sanzioni amministrative pecuniarie.
In attesa dell’entrata in vigore della disciplina italiana di attuazione del Regolamento UE, preme ricordare che l’art. 83 del GDPR, nello stabilire condizioni generali, prevede che alla violazione delle disposizioni (in particolare, quelle che sanciscono i principi del trattamento dei dati, i diritti degli interessati, la legittimità e le modalità di trasferimento dei dati personali verso un Paese Terzo, i limiti di trattamento) seguano sanzioni pecuniarie che possono raggiungere i 20.000.000 Euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente.
Non va neppure dimenticato come il mancato adeguamento delle aziende al GDPR non comporti solo sanzioni amministrative, quanto anche penali, che il GDPR (vedi art. 84) ha comunque lasciato alla regolamentazione autonoma dei singoli stati. Nello schema del D.lgs. di adeguamento al Regolamento UE 2016/679 sono state reintrodotte, dopo una prima abolizione, le sanzioni penali previste dal Codice della Privacy, salvo per alcune fattispecie che invece saranno depenalizzate. Sarà previsto, ad esempio, il reato di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, così come ad oggi pare che sarà mantenuto il reato previsto dal comma 1 dell’articolo 168 del Codice della Privacy per false dichiarazioni o falsa documentazione prodotta al Garante.
Tuttavia l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrà essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia. Posto che il concetto del ne bis in idem postula come non vi possa essere per lo stesso fatto un doppio procedimento penale e amministrativo, è comunque importante ricordare che la responsabilità penale è sempre personale, mentre la sanzione amministrativa può essere comminata sia alla persona fisica che all’azienda.
In considerazione di quanto sopra, appare dunque necessario ribadire l’importanza di un serio e concreto adeguamento alle disposizioni europee da parte di tutti i soggetti destinatari del Regolamento, indipendentemente dalle loro dimensioni, potendo le medesime essere soggette ai prossimi accessi ed ispezioni condotti dall’Ufficio del Garante.
È utile poi ulteriormente ricordare che se la violazione delle norme portate dal GDPR può - come visto - compromettere in modo anche irreparabile l’operatività di un’impresa, pure con riferimento ad altri ambiti di compliance (es.: modello organizzativo ex D.lgs. 231/01) occorre trovare un puntuale equilibrio funzionale che solo una consulenza aziendale multidisciplinare, integrata e costantemente in progress può garantire nel tempo.

20 agosto 2018

numero-verde-mobile