Guida GDPR

Guida GDPR: linee guida per gestire correttamente la privacy
INDICE:

Scrivere una guida GDPR completa è sicuramente una sfida. Sono stati pubblicati numerosi commentari approfonditi sulla normativa che richiedono una certa conoscenza giuridica di base per essere compresi. È utile, però, domandarsi quali sono gli aspetti principali che un’azienda deve conoscere per capire nel concreto gli adempimenti principali da rispettare.

Con questo obiettivo in mente, abbiamo sviluppato una panoramica generale sulla normativa europea in materia di dati personali. Vediamo insieme il contenuto della norma e le tematiche più rilevanti per aziende, enti e studi professionali.

Che cos’è il GDPR? Non semplicemente una “legge sulla privacy”

Il GDPR è il Regolamento Europeo n. 2016/679 del 27 aprile 2016, adottato dal Parlamento Europeo e dal Consiglio, e avente ad oggetto la protezione delle sole persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati all’interno dell’Unione Europea.

Si tratta di un atto legislativo europeo di portata generale, le cui disposizioni sono integralmente obbligatorie ed automaticamente vincolanti, in tutti gli Stati membri fin dalla sua piena applicabilità (25 maggio 2018).

In Italia, il D.lgs.101/2018 ha adeguato e modificato la normativa nazionale in materia di protezione di dati personali, novellando il D.lgs. 196/2003, cd. Codice Privacy, armonizzando le norme nazionali con quelle introdotte dal Regolamento.

Qual è il significato di GDPR?

Il termine GDPR è un acronimo inglese e significa General Data Protection Regulation ovvero il Regolamento europeo sulla protezione dei dati n. 2016/679. Il Regolamento è anche conosciuto in Italia con l’acronimo RGPD (Regolamento Generale sulla Protezione dei Dati).

In generale, il legislatore europeo si avvale dello strumento del regolamento quando intende introdurre direttamente ed uniformemente una normativa in tutti gli Stati membri senza la necessità di un atto di recepimento nell’ordinamento di ogni singolo Stato (come avviene per le direttive dell’Unione europea). Quando è entrato in vigore il GDPR?

Il GDPR è entrato in vigore il 4 maggio 2016, ma è diventato direttamente applicabile a tutti gli Stati membri dell’UE, dal 25 maggio 2018, segnando un cambiamento nella normativa in materia di protezione dei dati, dopo aver uniformato le leggi europee in materia.

Da questa ormai storica data, le aziende hanno iniziato a svolgere le numerose attività necessarie al rispetto della normativa, incontrando non poche difficoltà dovute del cambio di prospettiva verso cui sono state portate.

Com’è strutturato il GDPR?

Il GDPR è composto da 99 articoli e si divide in 11 capi. I 99 articoli del GDPR sono preceduti da 173 paragrafi che prendono il nome di “Considerando” e forniscono le motivazioni relative agli articoli che compongono la normativa. Quest’ultimi consentono di approfondire e capire meglio il testo del GDPR. Infatti, per una corretta applicazione del Regolamento europeo è necessaria un’analisi attenta e ragionata dei Considerando in combinato disposto con gli articoli della norma.   

Arriviamo al cuore di questa guida GDPR analizzando i concetti contenuti negli articoli più importanti del GDPR.

Cosa si intende per dato personale?

Il concetto di dato personale è disciplinato dall’art. 4, par. 1, del GDPR. È importante conoscere la sua definizione poiché costituisce l’oggetto principale della tutela offerta dal GDPR alle persone fisiche.

Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (l’interessato). Sono incluse tutte le informazioni che anche indirettamente consentono di identificare un soggetto.

A titolo esemplificativo e non esaustivo, sono considerati dati personali il nome, il cognome, il numero di telefono, l’indirizzo e-mail, il codice fiscale, l’immagine fotografica, una targa automobilistica, mentre altre tipologie di dati personali possono essere meno immediati da considerare, come ad esempio l’indirizzo IP o l’identificativo pubblicitario del proprio dispositivo mobile. Il GDPR è stato pensato per essere pronto alle innovazioni tecnologiche del futuro: non sappiamo ancora cosa potrebbe diventare domani un dato personale.

Si possono considerare dati non personali invece, i numeri di registrazione della società, indirizzi di posta elettronica generici (non nominativi) e dati resi anonimi (dati irreversibilmente non associabili ad una specifica persona fisica).

Il Regolamento ha previsto una tutela rafforzata, integrata dalle ulteriori condizioni e limitazioni previste dalla normativa nazionale, per il trattamento delle categorie particolari di dati, ad esempio i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale, e per i dati relativi a condanne penali o reati e dati relativi ai minori.

Che cos’è il trattamento dei dati personali?

Un altro concetto essenziale in materia, oltre a quello di dato personale è quello di trattamento di dati personali.

La norma fornisce una definizione all’art. 4, par. 2 e prevede che esso sia inteso come una “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Come possiamo notare, i concetti di dato personale e di trattamento sono molto ampi tali da ricomprendere qualsiasi informazione e l’intero ciclo di vita di un dato personale.

GDPR: a chi si applica?

Il GDPR introduce una disciplina uniforme in materia delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione su tutto il territorio Europeo.

L’art. 2 e 3 del GDPR disciplinano le condizioni di applicabilità della normativa da un punto di vista materiale e territoriale.

In linea generale il GDPR si applica ad ogni trattamento di dati personali di persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza.

Ma quali trattamenti di dati personali non sono coperti dal GDPR?

Il GDPR non si applica al trattamento di dati personali:

  • relativi ad attività che non sottostanno al diritto dell’Unione;
  • effettuati da una persona fisica per attività personali o domestiche;
  • effettuati dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati.

Restano esclusi dall’ambito di applicazione del GDPR anche i dati anonimi, o i dati personali che non consentono l’identificazione dell’interessato, così come il trattamento di dati personali di persone giuridiche.

Molto probabilmente, se siete arrivati a questo punto della guida GDPR, avete capito che questa normativa si applica alla vostra azienda; quindi, proseguiamo con l’analisi dei punti di principale interesse.

Chi sono i soggetti principali del GDPR?

Il GDPR identifica specifici ruoli, alcuni dei quali già noti e previsti dalla normativa precedentemente in vigore.:

Il ruolo da protagonista è affidato al Titolare del trattamento: ovvero il soggetto che decide in merito a finalità e mezzi del trattamento. Quando un’azienda tratta i dati dei propri dipendenti nell’ambito della gestione contratto di lavoro subordinato, oppure di clienti e fornitori per le finalità amministrative, oppure decide di attivare sul proprio sito web un servizio di invio di newsletter contenenti proposte commerciali, allora ricopre il ruolo di Titolare. Uno o più titolari, nel caso in cui determinino congiuntamente finalità e i mezzi del trattamento, potranno essere considerati Contitolari, e dovranno determinare le rispettive responsabilità mediante un accordo interno tra le parti (i cui contenuti sono indicati all’art. 26 del GDPR).

A tale figura, il GDPR attribuisce la maggior parte degli adempimenti di compliance, alcuni dei quali sono condivisi con un altro soggetto estremamente rilevante: il Responsabile del trattamento.

Il Responsabile del trattamento è il soggetto che esegue un trattamento di dati personali per conto di un titolare. Il titolare dovrà individuare nello specifico tali soggetti, provvedendo a fornire le istruzioni relative al trattamento e a stipulare uno specifico contratto di trattamento dati (i cui contenuti sono indicati all’art. 28 del GDPR). Ad esempio, un’azienda che offre servizi in outsourcing, anche infragruppo, sviluppa un software gestito in Cloud, oppure raccoglie ed elabora informazioni o gestisce piattaforme online per conto dei propri clienti, probabilmente ricoprirà il ruolo di Responsabile per i trattamenti di dati personali che deriveranno da tali attività.

Il GDPR introduce, inoltre, la nuova figura del Responsabile della Protezione dei Dati (RPD), anche noto come Data Protection Officer (DPO). È una figura designata in funzione delle sue qualità professionali, in particolare dalla sua conoscenza specifica della normativa e della capacità di svolgere i compiti che il Regolamento prevede per tale figura.

Si tratta di una figura che deve essere obbligatoriamente designata in caso di trattamento effettuati da un’Autorità pubblica o un organismo pubblico, o se il Titolare o il Responsabile effettuano un trattamento che richiede un monitoraggio su larga scala, oppure se vengono effettuati trattamenti su larga scala di categorie particolari o dati relativi a condanne penali o reati.

Inoltre, il DPO può essere alternativamente un dipendente del Titolare o del Responsabile oppure un soggetto esterno che svolge le sue funzioni sulla base di un contratto di servizi.

Sia nel caso di designazione interna o esterna il DPO non deve essere in conflitto di interessi al fine di garantire l’indipendenza della propria funzione.

Quali sono i principi fondamentali del Regolamento Europeo?

Il Regolamento Europeo prevede che ogni trattamento di dati personali deve avvenire nel rispetto dei principi fondamentali, fissati all’art. 5.

Vediamoli insieme:

  • liceità, correttezza e trasparenza nei confronti dell’interessato;
  • limitazione della finalità del trattamento: i dati devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento (es. limitare la raccolta dei dati di un form online a quelli strettamente necessari per svolgere l’attività);
  • esattezza e aggiornamento dei dati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento (es. conservare un curriculum vitae per il periodo strettamente necessario per portare a termine le finalità di selezione del personale);
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento;
  • principio di responsabilizzazione (“accountability”)

Il principio di trasparenza e il principio di responsabilizzazione o “accountability” meritano di essere approfonditi in quanto costituenti le due novità introdotte dal GDPR.

  • principio di trasparenza: obbligo del Titolare del trattamento di informare gli interessati in merito al trattamento dei loro dati personali (tramite l’informativa ex art. 13 GDPR la quale deve essere concisa, trasparente, intellegibile e facilmente accessibile, resa con linguaggio semplice e chiaro) di rendere le informazioni richieste in caso di esercizio dei diritti e di informare gli interessati in caso di violazione dei dati personali (cd. Data Breach).
  • principio di responsabilizzazione o “accountability: obbligo del Titolare di “comprovare” il rispetto dei principi di trattamento dei dati e mettere in atto delle misure tecniche e organizzative adeguate e garantire di essere in grado di dimostrare che il trattamento effettuato sia conforme al Regolamento.

Quali sono le basi giuridiche previste dal Regolamento Europeo?

Il Regolamento Europeo prevede che ogni trattamento di dati personali effettuato dal Titolare deve basarsi e trovare il proprio fondamento all’interno di un’idonea base giuridica ovvero ciò che autorizza legalmente il trattamento dei dati personali, soddisfacendo il principio di liceità (art. 6 GDPR).

Le basi giuridiche previste dal GDPR sono:

  • il consenso, fonte generale di legittimazione di ogni trattamento, il quale deve essere inequivocabile, libero, specifico, informato, verificabile e revocabile;
  • l’adempimento di obbligo contrattuale o misure precontrattuali;
  • l’adempimento di obblighi legali cui è soggetto il titolare del trattamento;
  • gli interessi vitali della persona interessata o di terzi;
  • il legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati;
  • l’interesse pubblico o l’esercizio di pubblici poteri.

Obblighi informativi previsti dal GDPR

Agli articoli 13 e 14 il GDPR introduce le informazioni che i Titolari devono fornire ai soggetti i cui dati personali sono trattati dal Titolare: si tratta delle famigerate informative privacy.

Il GDPR norma la fornitura di tali informazioni in due distinti casi:

  • Dati raccolti presso l’interessato: le informazioni vanno fornite al momento della raccolta. Ad esempio, nel caso di un form online l’informativa deve essere fornita contestualmente alla compilazione del form.
  • Dati non raccolti presso l’interessato (ad esempio ricevuti da terzi soggetti): le informazioni vanno fornite entro un termine ragionevole, al più tardi entro un mese.

All’interno del GDPR sono indicate nel dettaglio le informazioni da fornire, prevedendo che le stesse siano redatte in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, prendendo in forte considerazione i casi in cui le informazioni siano destinate ai minori.

Quali sono le informazioni che devono essere fornite agli interessati?

  • identità e dati di contatto del Titolare e, ove applicabile, del suo rappresentante;
  • dati di contatto del DPO (se nominato);
  • finalità del trattamento e base giuridica;
  • categorie di dati personali in questione (solo nei casi in cui i dati non siano raccolti presso l’interessato);
  • legittimi interessi perseguiti dal Titolare o da terzi (se previsto);
  • eventuali destinatari dei dati;
  • intenzione del Titolare di trasferire i dati a un paese terzo o a un’organizzazione internazionale e le relative modalità previste dalla normativa;
  • periodo di conservazione dei dati o i criteri applicati per determinarlo;
  • esistenza dei diritti dell’interessato;
  • esistenza del diritto di revocare il consenso (ove utilizzato come base giuridica);
  • esistenza del diritto di proporre reclamo all’autorità di controllo;
  • fonte dei dati personali compresa l’eventualità che gli stessi provengano da fonti accessibili al pubblico (solo nei casi in cui i dati non siano raccolti presso l’interessato);
  • se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato è obbligato a comunicare i dati e le relative conseguenze in caso di mancata comunicazione;
  • esistenza di un processo decisionale automatizzato, inclusa la profilazione e comprese le informazioni significative sulla logica utilizzata, l’importanza e le conseguenze per l’interessato.

Si tratta di un aspetto fondamentale della protezione dei dati personali, in quanto le informazioni sono necessarie all’interessato per conoscere come sono trattati i suoi dati, quali sono i suoi diritti e soprattutto per poter prendere una decisione consapevole in caso di richieste di consensi e, in generale, per mantenere il controllo sui propri dati

Quali sono i diritti dell’interessato riconosciuti dal Regolamento 2016/ 679 sulla protezione dei dati personali?

Uno degli obiettivi principali del Regolamento Europeo consiste nel garantire la protezione dei dati personali degli interessati.

In virtù di tale presupposto, il GDPR prevede un elevato livello di tutela per gli interessati ed introduce, in particolare, come novità il diritto all’oblio ed il diritto alla portabilità dei dati (non previsti dalla precedente disciplina normativa in materia). Approfondiamo insieme i diritti azionali dagli interessati.

I diritti dell’interessato sono disciplinati dagli artt. 15-22 del Regolamento.

  • il diritto di accesso (art. 15 GDPR): gli interessati hanno il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e di ottenere l’accesso ai propri dati personali e alle informazioni relative al modo in cui vengono trattati;
  • il diritto di rettifica (art. 16 GDPR): gli interessati possono chiedere la rettifica dei loro dati personali nel caso in cui siano errati o incompleti;
  • il diritto alla cancellazione (art. 17 GDPR), cd. diritto all’oblio: l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei suoi dati personali senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare, sempre senza ingiustificato ritardo i dati personali.
    Tale diritto è esercitabile dall’interessato a titolo esemplificativo e non esaustivo quando i dati non risultano più utili per le finalità per le quali sono stati raccolti, oppure in caso di revoca del consenso da parte dell’utente, oppure quando sono stati trattati in modo illecito o quando è imposta per obbligo di legge la cancellazione a carico del Titolare del Trattamento.  
  • il diritto di limitazione del trattamento (art. 18 GDPR): l’interessato ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se: ne contesta l’esattezza; il trattamento è illecito, ma l’interessato richiede una limitazione anziché la cancellazione; si è opposto al trattamento e l’azienda sta valutando se esiste un motivo legittimo per impedirlo; i dati non sono più necessari, ma l’interessato ne ha bisogno per l’esercizio o la difesa di un proprio diritto in sede giudiziaria.
  • il diritto di portabilità (art. 20 GDPR): l’interessato ha il diritto di richiedere ed ottenere in un formato elettronico leggibile i dati personali raccolti da un titolare, e trasferirli ad altro titolare, senza impedimenti da parte del titolare del trattamento cui li ha forniti, ad eccezione dei casi in cui i dati sono conservati in archivi di interesse pubblico, come ad es. nell’archivio anagrafico;
  • il diritto di opposizione (art. 21 GDPR): l’interessato ha il diritto di opporsi a determinati trattamenti effettuati dal titolare quando questi si basano sull’interesse legittimo del titolare, sull’esecuzione di un compito di interesse pubblico o di esercizio di pubblici poteri o a fini di ricerca e statistica, scientifica o storica.

Privacy by design e by default

Il GDPR introduce una serie di obblighi, finalizzati a rafforzare le tutele in capo agli Interessati. Alla base vi sono due concetti previsti dall’art. 25 del Regolamento: Privacy by Default e Privacy by Design.

  • L’approccio di Privacy by design consiste nell’esame puntuale e preventivo, fin dalla progettazione, del trattamento dei dati personali che il Titolare desidera effettuare e degli strumenti che intende utilizzare, nonché una verifica costante anche durante il trattamento stesso.
  • L’approccio di Privacy by default richiede al Titolare di individuare quelle misure adeguate a garantire in via preventiva il trattamento dei soli dati necessari per ogni specifica finalità.

Questo aspetto della normativa richiede alle aziende di includere la protezione dei dati personali all’interno dei propri progetti sin dal momento in cui vengono concepiti. Tale impostazione è di vitale importanza per chi produce software o applicazioni (sia per uso interno in qualità di Titolare del trattamento, sia per la commercializzazione, con gestione in qualità di Responsabile del trattamento) anche perché gli utenti sono sempre più attenti alle tematiche privacy e, soprattutto, perché intervenire successivamente comporta costi rilevanti.

Il Registro delle attività di trattamento

Il GDPR introduce all’art. 30 uno strumento essenziale ai fini della compliance: il registro dei trattamenti. Questo strumento rappresenta una novità importante della nuova normativa sulla protezione dei dati personali, che ogni azienda, indipendentemente dalle attività svolte deve tenere in grande considerazione.

I Titolari devono tenere un registro dei trattamenti riportando le informazioni richieste dalla norma:

  • nome e dati di contatto del Titolare o, ove previsto del Contitolare, del rappresentante e del DPO;
  • finalità del trattamento;
  • descrizione delle categorie di interessati e di dati personali;
  • categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi quelli di paesi terzi od organizzazioni internazionali;
  • trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, ove previsto, le garanzie adeguate;
  • descrizione generale delle misure di sicurezza tecniche e organizzative;

Anche ai Responsabili è richiesta la tenuta di un registro dei trattamenti, che contiene:

  • nome e dati di contatto del Responsabile o dei Responsabili, di ogni Titolare per conto del quale agisce il Responsabile, del rappresentante del Titolare o del Responsabile e del DPO;
  • categorie dei trattamenti effettuati per conto di ogni Titolare;
  • trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, ove previsto, le garanzie adeguate;
  • descrizione generale delle misure di sicurezza tecniche e organizzative;

Il registro può essere tenuto in formato elettronico (esistono diverse modalità di gestione del registro e software GDPR disponibili) ed è messo a disposizione dell’autorità di controllo. In caso di attività ispettiva, il registro del trattamento è lo strumento principale per rendere conto delle attività di trattamento svolte e, soprattutto, il punto di partenza per la gestione interna dell’accountability aziendale.

Valutazione del rischio

In virtù del principio di accountability, il Titolare deve valutare il rischio per i diritti e le libertà degli interessati relativo alle operazioni del trattamento in termini di gravità e probabilità ed individuare le situazioni in cui il rischio dovesse essere elevato per porre in atto le azioni richieste dal Regolamento. In particolare, è necessario individuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

La normativa, quindi, non offre un set precostituito di misure di sicurezza da applicare, bensì lascia in capo a Titolari e Responsabili del trattamento il compito di individuarle a seconda del contesto e delle attività di valutazione del rischio. 

Violazione di dati personali

Con il GDPR viene stabilito che il dovere di comunicare eventuali violazioni dei dati personali al Garante spetta direttamente al Titolare del trattamento. I Titolari del trattamento devono essere consapevoli dei rischi posti dalle violazioni dei dati e devono assicurarsi di disporre di misure di sicurezza adeguate a proteggersi da tali violazioni.

Il Regolamento prevede espressamente l’obbligo di notificare la violazione dei dati personali (cd. Data Breach) all’autorità di controllo e, in alcuni casi, anche agli interessati del trattamento.

In caso di violazione dei dati, il Titolare del trattamento deve notificare la violazione all’autorità competente ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione.

Se la violazione riguarda trattamenti svolti da un Responsabile quest’ultimo deve informare il Titolare senza ritardo.

Il Titolare dovrà infine comunicare all’interessato la violazione dei dati personali quando questa violazione sia suscettibile di rappresentare un rischio elevato per i diritti e le libertà delle persone.

Il Trasferimento dei dati extra UE

Il Regolamento europeo e i relativi Considerando disciplinano anche il trasferimento dei dati personali verso Paesi che non sono parte dello Spazio Economico Europeo (SEE).

Il tema è stato ampiamente analizzato anche dalle linee guida GDPR e dal Comitato Europeo per la protezione dei dati (European Data Protection Board EDPB), tenuto conto anche delle indicazioni del Garante per la protezione dei dati.

Il GDPR prevede che, nell’ipotesi di trasferimento dei dati personali verso Paesi al di fuori dello SEE od organizzazioni internazionali, il Titolare e il Responsabile del trattamento devono adottare una delle modalità previste dagli artt. da 44 a 49 del Regolamento e precisamente:

  • se esiste una decisione della Commissione Europea che riconosce che il Paese terzo, un territorio o uno o più settori specifici all’interno del Paese terzo o l’organizzazione internazionale in questione garantiscano un livello di protezione adeguato;
  • se sussistono garanzie adeguate ai sensi dell’art. 46;
  • se esistono norme vincolanti di impresa nell’ambito di un Gruppo;
  • se sussiste una delle condizioni elencate nell’art. 49;

Quali sono le conseguenze in caso di violazione del GDPR?

Il GDPR prevede delle sanzioni particolarmente severe in caso di violazione della privacy. Il regime sanzionatorio è disciplinato dagli art. 83 e 84 del GDPR e dal Titolo III del D.lgs. 196/2003, come novellato dal D.Lgs 101/2018. Le sanzioni possono essere amministrative, penali e civili.

Le sanzioni amministrative pecuniarie sono comminate dall’Autorità di controllo (Garante per la Protezione dei Dati Personali) e devono essere effettive, proporzionate e dissuasive.

Esse sono classificate a seconda della tipologia e gravità della violazione e possono essere pari fino ad euro 10 milioni o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, ovvero fino ad euro 20 milioni o, sempre per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per violazioni ritenute gravi.

Le sanzioni penali sono previste per fattispecie individuate nelle artt. da 167 a 172 del D.lgs. 196/2003   e prevedono la sanzione della reclusione fino a sei anni.

Inoltre, chiunque ritenga di aver subito un danno in conseguenza di un trattamento illecito dei dati personali può richiedere il risarcimento del danno materiale e immateriale (sanzione civile).

Una Guida GDPR è sufficiente a mettersi in regola?

La Protezione dei dati personali è un ambito complesso, formato da testi normativi interconnessi e in continua evoluzione (comunemente detti “legge sulla privacy), da provvedimenti e linee guida del Garante italiano, delle altre autorità di controllo europee, dell’European Data Protection Board, oltre ad un’autorevole dottrina e numerosa giurisprudenza.

Non è quindi facile poter fornire i dovuti approfondimenti attraverso una guida GDPR. Il nostro obiettivo è di fornire un quadro complessivo di ciò che è necessario affrontare nel percorso di compliance privacy.

Se la tua organizzazione ha la necessità di verificare il proprio modello organizzativo privacy, di curarne il costante aggiornamento ed il miglioramento o di attivare un percorso interno di sensibilizzazione alla norma, Unolegal offre un vasto ventaglio di servizi di consulenza privacy GDPR e di formazione privacy certificata.

Ti interesserà leggere anche

Condividi

Consulenza normativa in materia di Privacy
Linkedin Youtube
Main Menu

Partnership

Certificazioni

Certificazioni

Certif. N.° 50 100 13172

Certif. N.° 50 100 13173

Copyright © 2024 Unolegal – Business Unit di Sistemi H.S. S.p.A. | P.IVA/C.F. 07393280016 | Whistleblowing | Privacy | Cookie | Gestisci preferenze sui cookie
Torna in alto