In data 8 maggio 2019 è stato pubblicato il Regolamento n. 1 del 2019 “concernente le procedure interne aventi rilevanza esterna,finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali“, in particolare per quanto riguarda i provvedimenti correttivi di cui al’art. 58 c2 e le sanzioni di cui all’art. 83 del GDPR.
Il Garante -stabilisce il Regolamento – ispira la propria azione a princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione, realizzando l’interesse pubblico connesso a ciascuna attività secondo criteri di buona amministrazione, economicità, adeguatezza e imparzialità, valorizzando l’utilizzo di tecniche informatiche e della telematica. A tal fine, terrà conto della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati.
Il Regolamento disciplina articolo per articolo la procedura seguita dagli uffici del Garante in caso di reclami, di conseguente adozione dei provvedimenti correttivi e sanzionatori ed in particolare, all’art. 15, si dedica ai reclami in materia di diritti degli interessati. Norma di particolare interesse per gli operatori sul campo per comprendere le implicazioni e lo svolgimento del procedimento innanzi all’Autorità di Controllo.
In relazione ai reclami che abbiano ad oggetto, in via esclusiva, la violazione degli articoli da 15 a 22 del RGPD per i quali l’istante abbia già esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro nei termini di cui all’articolo 12, paragrafo 3, del GDPR, salvi i casi di inammissibilità o manifesta infondatezza, entro quarantacinque giorni dalla data della sua ricezione, il reclamo è comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facoltà di comunicare all’istante e all´Ufficio la propria eventuale adesione spontanea.
In caso di adesione spontanea da parte del titolare, il dipartimento, servizio o altra unità organizzativa competente informa l’istante, ai sensi dell’articolo 77, paragrafo 2, del RGPD, e comunica al titolare o al responsabile del trattamento l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 58, c2, e 83 del RGPD, ai sensi dell’articolo 166, c5, del Codice.
In sostanza, il garante avvia una procedura di accertamento sanzionatorio, perchè il titolare o il responsabile hanno atteso l’intimazione dell’Autorità per dare risposta all’interessato che ha dovuto adire con reclamo il Garante per ottenere risposta all’esercizio di un proprio diritto.
Qualora, invece, l’istante non abbia preventivamente esercitato i diritti di cui agli articoli da 15 a 22 del RGPD con istanza rivolta al titolare del trattamento, se dal reclamo non emergano specifiche e fondate ragioni che ne giustifichino la mancata effettuazione, il dipartimento, servizio o altra unità organizzativa ai quali il reclamo è assegnato invita, entro quarantacinque giorni dalla data della ricezione del reclamo, l’istante a rivolgersi al titolare del trattamento.
Appare evidente, quindi, l’enorme attenzione che titolari e responsabili devono avere nell’ambito della organizzazione interna e in termini di awarness, rispetto alle richieste degli interessati, dei clienti, degli utenti di cui trattino i dati personali.
Precondizione per il reclamo, infatti, da parte dell’interessato è che vi sia stata una richiesta di esercizio di uno dei diritti previsti dagli artt. 15 a 22 e che sia mancato un adeguato riscontro.
Come afferma l’art. 15 c2, al reclamo l’interessato deve allegare copia della richiesta rivolta al titolare del trattamento e dell’eventuale riscontro ricevuto e, comunque, l’aver esercitato prima con il titolare o il responsabile i propri diritti ai quali non si è avuta risposta o una risposta negativa.
Non è stato approvato definitivamente il Decreto legislativo, ancora in fase di proposta, ma dall’esame del testo si rilevano alcuni elementi importanti per comprendere come avverrà il trattamento delle violazioni e il contemperamento delle sanzioni.
L’art. 83 del Regolamento e l’art. 166 del Codice Privacy, così come riformulato dalla bozza di d.lgs. di adeguamento, delineano un quadro sanzionatorio di tipo principalmente amministrativo.
L’articolo 84 del GDPR prevede poi che gli Stati membri stabiliscano “le norme relative alle altre sanzioni per le violazioni del presente Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie e adottano tutti i provvedimenti necessari per assicurarne l’applicazione […]“.
Nonostante gli Stati membri dell’Unione europea detengano un certo margine di discrezionalità nel determinare quali misure siano più appropriate per la tutela dei diritti in materia di protezione dei dati e privacy, il GDPR prevede espressamente che tali sanzioni debbano SEMPRE soddisfare i requisiti dell’effettività e della proporzionalità (articolo 84).
L’impianto sanzionatorio del Regolamento è, dunque, improntato esclusivamente su sanzioni amministrative. Ne deriva che per tutte le fattispecie indicate dall’art. 83 siano sanzionate con le sole pene amministrative (pecuniarie) per le quali l’ordinamento nazionale non può prevedere anche sanzioni penali.
Ciò ha comportato per il legislatore italiano la previsione nello schema di decreto all’art. 27 la necessaria abrogazione degli articoli 169 e 170 del Codice relativi, rispettivamente:
– alla violazione di misure di sicurezza : in base al regolamento la violazione delle norme relative alla sicurezza è sanzionata con il versamento di una somma fino a 10 milioni di euro;
– all’inosservanza di provvedimenti del Garante : il Regolamento prevede in questi casi la sanzione pecuniaria fino a 20 milioni.
Dell’art. 170 del Codice Privacy, il Garante chiede però la non abrogazione ed esprime critiche riguardo il difforme trattamento tra la legge applicativa della direttiva europea 680/2016 e quanto previsto dal decreto attuativo del GDPR.
Con i commi da 4 a 6 dell’art. 167 novellato, lo schema delinea il procedimento di cooperazione tra Garante e autorità giudiziaria e affronta, con previsione applicabile a tutti i successivi illeciti penali, il tema del rapporto tra sanzione amministrativa e sanzione penale.
In particolare,
– i commi 4 e 5 disciplinano la cooperazione tra pubblico ministero e Garante prevedendo che entrambi debbano senza ritardo scambiarsi le informazioni sugli illeciti dei quali vengano a conoscenza;
– il comma 6 prevede che quando per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all’esito della condanna penale – sia diminuita.
La riforma pone con il comma 6 dell’art. 167 il tema del rispetto del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative, ovvero del principio per il quale nessuno può essere sottoposto a due procedimenti sanzionatori per il medesimo fatto, indipendentemente dall’esito degli stessi .
La riforma, agli articoli 166 e 167, ha infatti individuato per condotte non direttamente contemplate dal regolamento rispettivamente illeciti amministrativi e illeciti penali.
In relazione a queste ipotesi il decreto attuativo risolve il problema del cumulo della sanzione amministrativa pecuniaria e della pena detentiva, prevedendo una riduzione di quest’ultima quando la prima sia stata già riscossa.
L’articolo 15 del progetto di decreto inserisce nel Codice, all’articolo 167-bis, il delitto di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone. La fattispecie penale punisce con la reclusione da 1 a 6 anni il titolare, il responsabile o la persona designata per il trattamento che, salvo che il fatto costituisca più grave reato, al fine di trarre profitto per sé o altri, comunica o diffonde dati personali riferibili a un rilevante numero di persone:
– in violazione degli articoli 2-ter (comunicazione e diffusione di dati personali da parte di titolari che effettuato il trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati necessario per motivi di interesse pubblico rilevante) e 2-octies (trattamento di dati relativi a condanne penali e reati) (comma 1);
– in assenza del consenso degli interessati, quando il consenso è richiesto come condizione di liceità delle operazioni di comunicazione e diffusione (comma 2).
Con l’inserimento nel Codice dell’articolo 167-ter, la riforma punisce con la reclusione da 1 a 4 anni, chiunque, al fine di trarne profitto, acquisisce con mezzi fraudolenti dati personali riferibili a un numero rilevante di persone.
Anche ai delitti di cui agli articoli 167-bis e 167-ter si applicano i commi 4-6 dell’articolo 167, relativi a cooperazione tra Garante e PM e cumulo di sanzioni penali e amministrative.
Con la modifica dell’articolo 168 del Codice, la riforma conferma la pena della reclusione da 6 mesi a tre anni per la falsità nelle dichiarazioni al Garante.
Oltre a tale fattispecie, già prevista dal Codice, viene, però, introdotto un nuovo delitto consistente nell’intenzionale interruzione o nel turbamento di un procedimento davanti al Garante o degli accertamenti da questo disposti: la pena prevista è la reclusione fino a 1 anno.
Il nuovo articolo 171 del Codice conferma che sono punite in via contravvenzionale, con l’ammenda da 154 a 1.549 euro o con l’arresto da 15 giorni ad un anno, le violazioni in materia di controllo a distanza dei lavoratori con impianti audiovisivi e altri strumenti. Tuttavia, con la stessa pena sono ora sanzionate dall’art. 171, anche le violazioni del divieto di indagine, da parte del datore di lavoro, delle opinioni politiche, religiose, sindacali del lavoratore.
Infine, l’articolo 15 dello schema novella l’articolo 172 del Codice, confermando che alla condanna per uno dei sopradescritti reati consegue, come pena accessoria, la pubblicazione della sentenza. A tal fine, la disposizione fa espresso riferimento all’art. 36, secondo e terzo comma, del codice penale, dal quale deriva la pubblicazione della sentenza nel sito internet del Ministero della giustizia, di regola per estratto, a spese del condannato per una durata stabilita dal giudice in misura non superiore a 30 giorni; in mancanza, la durata è di 15 giorni.
Il Garante Privacy è intervenuto riguardo i rischi di monitoraggio e raccolta dati da parte delle webcam inserite nei totem pubblicitari posizionati nelle stazioni ferroviarie. Un ultima decisione di pochi giorni fa ha riguardato queste colonnine pubblicitarie, dotate di telecamere che analizzano le reazioni del pubblico alla pubblicità (circa 500 sul territorio). La tecnologia adottata, infatti, consentirebbe di analizzare l’espressione facciale (da felice a triste) e alcune altre caratteristiche delle persone che osservano il messaggio pubblicitario.
Precedentemente, nel 2012 il sistema adottato non prevedeva nè la conservazione nè la trasmissione di alcuna immagine o altri dati riferibili a specifici soggetti inquadrati dalla telecamera.Dalla nuova documentazione tecnica fornita dalla società di gestione dei totem, il Garante ha rilevato che, nonostante l’assenza di particolari criticità, l’apparecchiatura installata per effettuare l’analisi del volto di chi osserva gli annunci promozionali, anche se in locale e per un brevissimo lasso di tempo, prima della immediata sovrascrittura delle immagini, effettua comunque un trattamento di dati personali funzionale all’analisi statistica dell’audience. Le informazioni raccolte, in forma totalmente anonima, vengono infatti inviate ad un server centrale per l’elaborazione di statistiche, ma non vengono trasmesse in alcun modo all’esterno e non possono ricondurre in alcun modo alle persone osservate.
Nonostante ciò il Garante ha affermato che «i passanti che guardano le pubblicità proiettate sui totem presenti nelle principali stazioni ferroviarie italiane dovranno essere informati sulla presenza di una telecamera che analizza le loro reazioni». Questa la decisione del Garante Privacy riportata nella newsletter del 26 gennaio 2018. L’Autorità, pur rilevando che «il sistema attuale in effetti non consente il riconoscimento facciale dei passanti, né il loro monitoraggio o tracciamento, e che i dati sul gradimento della pubblicità sono inviati al sistema centrale in forma totalmente anonima», tuttavia afferma che, comunque, viene effettuato un trattamento dei dati personali funzionale all’analisi statistica dell’audience. Per questi motivi il Garante Privacy ha imposto alle società proprietarie dei totem di istallare un cartello che segnali la presenza delle telecamere e con l’indicazione degli elementi essenziali relativi al trattamento dei dati effettuato e i riferimenti per accedere all’informativa completa sul sito internet della società, raggiungibile tramite apposito QR Code.
Le società dovranno, altresì, garantire la sicurezza delle tecnologie utilizzate nei totem, adottando un monitoraggio almeno semestrale della telecamera e della memoria interna, al fine di individuare eventuali malfunzionamenti, indisponibilità o tentativi di accesso illecito agli apparati.
Il GDPR 679/16 disciplina il data breach, prevedendo espressamente l’ obbligo di notifica e di comunicazione in capo al Titolare del trattamento, nel caso in cui la violazione di dati personali possa compromettere le libertà e i diritti dei soggetti interessati. L’approccio della precedente Direttiva 95/46/CE era completamente differente, poiché non prescriveva alcun obbligo di notifica. Il Codice Privacy italiano, ad oggi, prevede uno specifico obbligo di notifica dei data breach, esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. Il nuovo Regolamento, invece, attribuisce alla notifica e alla conseguente comunicazione agli interessati una funzione essenziale di tutela ed un obbligo esteso a tutti i Titolari di trattamento. Anche il Gruppo di Lavoro W29 ha contribuito a chiarire e fornire elementi interpretativi delle nuove norme.
Gli artt. 33 e 34 del GDPR prescrivono ai Titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.
Il criterio per valutare la necessità di avviare una procedura di notifica all’autorità è la probabilità che la violazione possa porre a rischio o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui.
In sostanza:
Appare, quindi, chiaro che la nuova normativa risulta puntuale e specifica e il Gruppo W29, sottolinea che spetta ai Titolari adottare un comportamento diligente e tempestivo, che sarà in ogni caso soggetto a valutazione da parte dell’Autorità di controllo.
Entra in vigore oggi la legge con cui lo Stato Italiano adegua determinati settori alla normativa comunitaria.
Tra questi anche la materia della protezione dei dati personali e in particolare il cd. Codice Privacy.
Agli artt. 28 e 29 della suddetta legge vengono previste modificazioni e aggiunte alla L.196/2003, in particolare:
– all’articolo 29 del Codice Privacy dopo il comma 4 e’ inserito il seguente:
«4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare puo’ avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualita’di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalita’ perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalita’ di trattamento; i predetti atti sono adottati in conformita’ a schemi tipo predisposti dal Garante».
L’aggiunta del comma 4 bis rende esplicito normativamente ciò che il GDPR richiede all’art. 28 c. 3, laddove si prescrive l’adozione di atti specifici contrattuali (“contract or other legal act”) per la carica di responsabile del trattamento. Non più lettere di incarico, ma veri e propri contratti con specifici obblighi e responsabilità reciproche tra titolare e responsabile. Dal dettato normativo ci si deve aspettare, quindi, che il Garante a breve emani linee guida su tali forme contrattuali nel rispetto di quanto previsto dal Regolamento Europeo.
– il comma 5 dell’art. 29 del Codice Privacy e’ sostituito dal seguente:
«5. Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis».
Con tale specifica si intende evidenziare che il responsabile segue le istruzioni impartite dal titolare e specificate nel contratto di cui al comma 4 bis, ma anche che il titolare ha le proprie incombenze e responsabilità. Non viene tutto demandato al responsabile, “Processor”, ma al “Controller”, al Titolare, è riconosciuto il potere di verifica e controllo.
-dopo l’art. 110 viene inserito l’art.110 bis:
«(Riutilizzo dei dati per finalita’ di ricerca scientifica o per scopi statistici). – 1. Nell’ambito delle finalita’ di ricerca scientifica ovvero per scopi statistici puo’ essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili,ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
2.Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
Norma di particolare rilevanza in materia di ricerca scientifica, che sarà sicuramente oggetto di discussione per la sua conformità o meno con il GDPR.
-all’art. 29 della nuova legge si prevede, poi, un aumento di budget per l’anno 2018 e di personale (25 unità) per l’Ufficio del Garante, che con l’entrata in vigore del GDPR vede i propri compiti aumentare sia in termini di coordinamento con le altre Autorità di Controllo, sia in termini di ispezioni e controlli sull’effettivo adeguamento degli stakeholders italiani.
Ulteriore modifica apportata dalla L.167/2017 (art.24) che, in riferimento all’art.132 del Codice Privacy, inserisce come termine di conservazione dei dati (cd. Data retention) del traffico telefonico e telematico fino a 72 mesi. I termini suddetti passano da 24 a 72 mesi e tale modifica, caso unico in tutta Europa, viene giustificata per motivi di ordine e sicurezza e per il contrasto alla criminalità e al terrorismo.
Tale estensione dei termini di conservazione appare censurabile a fronte delle decisioni della Corte di Giustizia Europea ( C-293/12 e C-594/12 Digital Rights Ireland ), laddove il termine della data retention si ritiene proporzionale ai diritti fondamentali e al rispetto della vita privata per un periodo compreso tra 6 e 24 mesi.
Preoccupazione e contrarietà per l’innalzamento del termine di conservazione espresso anche da parte del Garante Privacy.
“Al giorno sono circa 5 miliardi i dati di traffico telefonico e telematico conservati dagli operatori e dagli Internet Service Provider e questa prassi di conservarli per 6 anni in modo indistinto andrebbe nella direzione opposta di proteggere la privacy del nostro Paese e dei cittadini… Se la minaccia di attacchi informatici è quotidiana diventa ancora più incomprensibile la decisione di aumentare fino a 6 anni la Data retention, ignorando, non solo le sentenze della Corte di Giustizia Europea, ma anche il buon senso”.(da Convegno di Firenze 24 ottobre 2017)
Ecco i passi necessari per l’attuazione dei cambiamenti introdotti dal GDPR e come Protact Advisor può esservi utile. Il GDPR obbliga a modifiche strutturali alle regole sulla protezione dei dati personali.
I decision maker delle aziende e delle strutture pubbliche e/o private devono diventare effettivamente consapevoli di quello che cambierà e delle nuove responsabilità.
Cosa cambia:
Cosa si deve fare:
In che modo Protact Advisor vi può aiutare:
Le novità introdotte dal GDPR impongono principalmente di definire un piano di adeguamento che coinvolga, in prima battuta, le funzioni aziendali coinvolte in operazioni di trattamento di dati personali.
Questa fase prevede l’assessment del modello dell’organizzazione, per meglio affinare il piano di azioni da intraprendere con specificità sulla realtà aziendale.
Mappare il modello attuale e identificarne in modo esaustivo i gap, in relazione a quanto richiesto dal Regolamento, richiede un approccio strutturato e integrato che si struttura nei seguenti passaggi fondamentali:
– definizione e formalizzazione del modello organizzativo, dei ruoli e delle relative responsabilità all’interno dell’azienda, in relazione all’indirizzo e alla gestione dei temi legati alla Data Protection;
– maggiore comprensione e radicamento della cultura della protezione dei dati e delle policy di sicurezza all’interno dell’organizzazione, attraverso attività di formazione e sensibilizzazione;
– valutazione e analisi del rischio, attuazione della Privacy by design e by default, nuove modalità relative alla portabilità dei dati, alla gestione dei data breach, alla creazione del registro dei trattamenti, alla gestione dei diritti degli interessati;
– aggiornamento dei contratti interni e con le terze parti, adeguamento della documentazione inerente ad informative, consenso, cookies;
– implementazione di misure di sicurezza informatica (antivirus, codici identificativi, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach).
Ecco allora che un audit approfondito che analizzi la situazione del sistema di gestione della data protection, permette non solo di individuare i gap nella struttura, ma permette anche di definire e programmare con miglior precisione il progetto di adeguamento necessario per la piena e proattiva compliance al GDPR.
Dal 30 gennaio 2018 al 9 febbraio le micro, piccole e medie imprese potranno presentare domanda per i voucher per l’acquisto di hardware, software e servizi specialistici finalizzati alla digitalizzazione dei processi aziendali e all’ammodernamento tecnologico .
Ciascuna impresa può beneficiare di un unico voucher di importo non superiore a 10 mila euro, specifica il ministero, nella misura massima del 50% del totale delle spese ammissibili.
“Entro 30 giorni dalla chiusura dello sportello il Ministero adotterà un provvedimento cumulativo di prenotazione del Voucher, su base regionale, contenente l’indicazione delle imprese e dell’importo dell’agevolazione prenotata – prosegue il comunicato – ai fini del riparto saranno considerate tutte le imprese ammissibili alle agevolazioni che avranno presentato la domanda nel periodo di apertura dello sportello, senza alcuna priorità connessa al momento della presentazione”.
News dal Garante per la Protezione dati – ottobre 2017-
Sanità, Spid, telemarketing, sotto la lente del Garante
Al via il piano ispettivo del secondo semestre 2017
Trasferimento di dati sanitari a società multinazionali, Spid, telemarketing aggressivo, società di recruitment. Saranno questi i settori sui cui il Garante per la protezione dei dati personali punterà un faro nei prossimi mesi. Nelle scorse settimane l’Autorità ha varato il piano di accertamenti ispettivi per il secondo semestre 2017.
Oltre che sui dati trattati dalle Asl richiesti da aziende e società multinazionali operanti nel settore farmaceutico e sanitario, i controlli verteranno anche con il contributo delle Unità Speciali della Guardia di Finanza, Nucleo speciale privacy, sul settore privato, principalmente sui trattamenti di dati effettuati da società che operano nel settore dell’intermediazione creditizia o finanziaria, da società di recupero crediti, da aziende che offrono servizi di vendita a domicilio o servizi di informazione commerciale, da imprese che operano nel settore della sharing economy, da centri odontoiatrici, da società che si occupano di marketing telefonico.
E voi siete pronti?