Adempimenti in materia di trattamento dati personali

Le sanzioni

Nel regolamento europeo sulla privacy sono state inasprite le sanzioni amministrative pecuniarie applicabili in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa. Stabilito un importo massimo applicabile dal Garante e, ove si tratti di impresa, un metodo di quantificazione alternativo che consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente. In aggiunta, il regolamento riconosce all’interessato il diritto al risarcimento del danno dal titolare o dal responsabile del trattamento.

A questo si aggiungono poi le ulteriori previsioni del legislatore nazionale e, in primo luogo, quelle di natura penale.

Diritto al risarcimento dell’interessato: Ai sensi dell’art. 82 del Regolamento, “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Inoltre, nella suddivisione delle responsabilità tra il titolare e il responsabile, il Regolamento precisa che il titolare “risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”, mentre il responsabile “risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

L’ammontare della sanzione sarà proporzionato ad una serie di criteri:

• natura, gravità e durata della violazione;
• carattere intenzionale o meno della violazione;
• grado di responsabilità del legale rappresentante dell’ente e numero di sanzioni che egli ha ricevuto in passato;
• presenza o meno di misure di sicurezza tecniche e organizzative;
• grado di cooperazione con l’Autorità per porre rimedio alla violazione.

COMPLIANCE: Nuovo DLGS. 101/2018 – “schema di armonizzazione”

Il decreto delegato di adeguamento della normativa nazionale italiana (Dlgs. 196/2003 – Codice Privacy) alle disposizioni del GDPR è stato pubblicato in Gazzetta Ufficiale ed è entrato in vigore lo scorso 19 settembre 2018. Sul Garante Privacy italiano la norma pone nuovi grandi poteri e altrettante responsabilità.

Il nuovo decreto che pure affida alla Autorità Italiano un numero notevolissimo di compiti e poteri, compresa l’adozione di regole deontologiche, provvedimenti a carattere generale, misure di garanzia e provvedimenti sostitutivi o, quando è possibile, anche confermativi o adeguativi delle precedenti autorizzazioni generali, non dà alcun potere al Garante in merito.

Bisogna operare nel quadro di un unico contesto normativo, costituito da fonti regolatorie a più livelli. Il pilastro portante della costruzione è costituito ovviamente dal GDPR (e per le attività di polizia e giustizia anche dalla dottrina Direttiva 2016/680). Il contesto nazionale però, pur ruotando tutto intorno al GDPR, è costituito sia dal nuovo decreto delegato che dal vecchio decreto delegato come novellato a seguito della entrata in vigore di quest’ultimo. In questo contesto possiamo essere certi che, specialmente in una prima fase, non mancheranno le difficoltà interpretative e le controversie attuative relative alla nuova normativa.

Inizialmente è stata conferma una gradualità di otto mesi a partire dall’entrata in vigore del D. lgs. 101/2018 avvenuta il 19.9.2018. Il legislatore è andato incontro alle richieste della politica e nel decreto è stato previsto un periodo di otto mesi in cui il Garante, nell’erogazione delle sanzioni, dovrà tener conto del periodo transitorio necessario all’adeguamento. È necessario sottolineare che questo non è stata una proroga all’applicazione della normativa sulla protezione dei dati personali: il concetto di gradualità è stato applicato non sull’andebeatur, ma sul quantum debeatur.

Il secondo elemento riguarda le PMI - le piccole e medie imprese - alle quali è stata data la possibilità di seguire protocolli differenziati e semplificati individuati dal Garante che dovranno essere studiati in quanto semplificato potrebbe non voler dire operativamente semplice.

Terzo importante elemento è l’adozione di disposizione specifiche, quindi aggiuntive, per chi nell'ambito del trattamento di dati sensibili tratta dati sulla salute.

Infine, il legislatore italiano ha previse sanzioni penali per alcune violazioni della normativa sulla protezione dei dati personali perseguendo: il trattamento illecito dei dati personali (art. 167 D. lgs. 196/2003); comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167 – bis D. lgs. 196/2003); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter D. lgs. 196/2003); falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168 D. lgs. 196/2003); inosservanza dei provvedimenti del Garante (art. 170 D. lgs. 196/2003); inosservanza di provvedimenti del Garante (art. 170 D. lgs. 196/2003); Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 171 D. lgs. 196/2003); pene accessorie (art. 172 D. lgs. 196/2003).

Volendo, a titolo esemplificativo e sommariamente, elencare le principali novità in punto di parte speciale:

• curriculum vitae: l’informativa ex art. 13 GDPR deve essere fornita al primo contatto utile successivo all’invio del curriculum. Nei limiti delle finalità stabilite dall’art. 6.1 lett. b) GDPR - quindi limitatamente ai soli dati comuni identificativi – il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.
• Controlli a distanza: viene fatta salva la disciplina dell’art. 4 dello Statuto dei lavoratori (come modificata nel 2015 dal job act) e viene altresì confermata la sanzione penale ex art. 38 L. 300/1970 in caso di violazione dell’art. 4 co. 1 Stat. Lav.;
• Consenso dei minori: in relazione all’offerta diretta di “servizi della società dell’informazione”, il consenso potrà essere espresso al compimento di 14 anni di età. Al di sotto di tale soglia, il consenso andrà prestato da chi esercita la responsabilità genitoriale.

Stato di applicazione della normativa: Il percorso di adeguamento al GDPR, in un quadro normativo molto complesso, da ultimo arricchito dal citato decreto legislativo n. 101/18 di armonizzazione tra Codice Privacy e Regolamento Europeo necessita di una continua verifica e monitoraggio della completa e corretta applicazione.

COSA FARE

RIFERIMENTI

• https://www.garanteprivacy.it/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
• https://www.garanteprivacy.it/home/ricerca/-/search/key/infografica
• https://www.garanteprivacy.it/regolamentoue
• https://www.garanteprivacy.it/home/provvedimenti-normativa/provvedimenti