Il Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation), approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, è entrato in vigore in tutta l'Unione Europea a decorrere dal 25 maggio 2018.
Il GDPR ha interessato ed interessa un numero enorme di aziende e realtà professionali obbligate a rivedere in toto, o a definire e strutturare in modo conforme alla normativa stessa, le proprie politiche inerenti il trattamento dei dati personali.
A partire dal 19 settembre 2018 il Governo Italiano ha ufficializzato una sorta di proroga GDPR 2018 per consentire un periodo di tolleranza di otto mesi nei confronti delle aziende non ancora perfettamente in regola con il nuovo decreto privacy europeo. Questa proroga GDPR 2018 in realtà non sospendeva automaticamente le multe previste in caso di violazione della legge, ma si configurava maggiormente come un invito al Garante Privacy di tenere in considerazione eventuali difficoltà, da parte delle aziende, nell'uniformarsi ai nuovi standard europei. Molte realtà professonali, infatti, hanno dovuto compiere notevoli sforzi per adeguare i propri database e le proprie infrastrutture al GDPR, in particolare quelle che operano in ambito web e sono obbligate ad informare costantemente e in modo chiaro e trasparente i propri utenti/clienti sull'uso dei loro dati personali.
Chiedeteci subito un PREVENTIVO PER UNA VERIFICA E MESSA A NORMA GDPR
Vi invitiamo a interpellarci per un preventivo personalizzato per un progetto di Messa a norma secondo la normativa GDPR, con analisi completa della Vostra situazione aziendale e definizione di un progetto dettagliato con tutti gli interventi necessari, a cui può seguire seguito Vostro ordine la effettiva compilazione di tutta la documentazione prevista: un nostro responsabile di progetto Vi ricontatterà per una prima analisi e studio di fattibilità.
Chiamate subito per informazioni 24 ore su 24, 7 giorni su 7
0121/932578 - 338/7867823
La conformità alla normativa GDPR è essenziale per proteggere i dati dei clienti e collaboratori e costruire fiducia. Mettere la propria azienda a norma non solo evita pesanti sanzioni amministrative e legali, ma dimostra l'impegno dell'azienda per la privacy e la sicurezza dei dati personali, portando l'azienda stessa ad essere apprezzata ed a guadagnare credibilità e rispetto nel mercato globale.
Dal 20 maggio 2019 piena applicazione delle sanzioni del GDPR
Il periodo di tolleranza per le inadempienze al nuovo regolamento, previsto dall’art. 22 del Decreto legislativo 10 agosto 2018 n. 101, è giunto al termine. A partire dal 20 maggio 2019 il Garante può applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Tutte le aziende e le PA devono essere pronte per sostenere eventuali controlli o ispezioni gestiti e organizzati direttamente dalla Guardia di Finanza. Da considerare che il In questo scenario, diventa fondamentale che le imprese abbiano ben presente quali siano i reali rischi a cui possano andare incontro in termini di sanzioni amministrative ed anche di natura penale. Da notare che il GDPR non riguarda soltanto le grandi aziende, ma si applica anche alle piccole e piccolissime imprese ed ai singoli professionisti. Una tabaccheria, un ristorante, una officina meccanica, una gelateria, un piccolo centro estetico, un agente e subagente di commercio, liberi professionisti in genere come medici, architetti, avvocati, commercialisti...
Quali sono i controlli?
Per quanto riguarda le verifiche ispettive da parte degli organi di controllo preposti
(Guardia di Finanza in primis, ma potensialmente qualsiasi funzionario di Polizia Amministrativa),
è importante capire quali siano gli adempimenti di minima che tutte le aziende interessate
devono assolvere per poter essere considerate in regola.
Per la conformità al GDPR, le imprese, gli enti ed organizzazioni devono poter
dimostrare di aver predisposto un cosiddetto «sistema privacy», dinamico e che
si evolva nel tempo, costituito dai seguenti componenti:
- Registro dei Trattamenti;
- Nomina del DPO, Data Protection Officer (se obbligatoria);
- Informative (clienti, fornitori, dipendenti, collaboratori) online e offline;
- Lettere di nomina dei ruoli privacy all’interno dell’azienda;
- Analisi del profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza);
- Analisi delle misure organizzative e di protezione adottate – Manuale Operativo Privacy (M.O.P.);
- Controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito) o in caso di valutazione di impatto;
- Analisi dei rischi e DPIA Data Protection Impact Assessment (se obbligatorio)
In relazione all’esito delle verifiche e delle ispezioni effettuate si ricorda che spetta al Garante il compito di decidere l’entità delle sanzioni, in base agli elementi raccolti durante la fase ispettiva della Guardia di Finanza. Il Garante, secondo l’art. 83 del Regolamento, garantirà inoltre che l'entità delle sanzioni sia effettiva, proporzionata e dissuasiva.
Quali potssono essere le sanzioni amministrative?
Il Regolamento UE n.679/2016 distingue due grandi gruppi di sanzioni amministrative in relazione
alle violazioni commesse in materia di gestione e trattamento di dati personali.
Di seguito vediamo violazioni e sanzioni collegate.
1) Sanzioni fino a 10 milioni di euro oppure al
2% del fatturato mondiale annuo della società se superiore, qualora le violazioni riguardino:
a) inosservanza degli obblighi del titolare e del responsabile del trattamento
a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione),
da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti
nell’Unione, responsabili del trattamento, registro del trattamento, sicurezza,
notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
b) inosservanza degli obblighi dell’organismo di certificazione a norma
degli articoli 42 e 43;
c) inosservanza degli obblighi dell’organismo di controllo a norma
dell’articolo 41, paragrafo 4.
2) Sanzioni fino a 20 milioni di euro oppure fino al 4 % del fatturato mondiale totale
annuo dell’esercizio precedente, se superiore, qualora le violazioni riguardino:
a) inosservanza dei principi di base del trattamento, comprese le condizioni relative al
consenso a norma degli articoli 5, 6, 7 e 9;
b) inosservanza dei diritti degli interessati
c) inosservanza delle norme relative ai trasferimenti di dati personali a
un destinatario in un Paese terzo o un’organizzazione internazionale a
norma degli articoli da 44 a 49;
d) inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri
adottate a norma del capo IX;
e) inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento
o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi
dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
Attenzione! In tutta Europa, ed anche in Italia, sono già state comminate molte sanzioni
Quali possono essere le sanzioni penali?
Il D.Lgs. 101/2018 è intervenuto modificando le fattispecie penalmente rilevanti già
previste dal Codice Privacy (D.Lgs. 196/2003) ed integrando le stesse con ulteriori violazioni.
Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del
riformato Codice Privacy:
167 (Trattamento illecito dei dati)
167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su
larga scala);
Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei
compiti o dell’esercizio dei poteri del Garante);
Art. 170 (Inosservanza dei provvedimenti del Garante)
Chiedeteci subito un PREVENTIVO PER UNA VERIFICA E MESSA A NORMA GDPR
Vi invitiamo a interpellarci per un preventivo personalizzato per un progetto di Messa a norma secondo la normativa GDPR, con analisi completa della Vostra situazione aziendale e definizione di un progetto dettagliato con tutti gli interventi necessari, a cui può seguire seguito Vostro ordine la effettiva compilazione di tutta la documentazione prevista: un nostro responsabile di progetto Vi ricontatterà per una prima analisi e studio di fattibilità.
Chiamate subito per informazioni 24 ore su 24, 7 giorni su 7
0121/932578 - 338/7867823
Cosa vi offre Ability Services per la messa a norma secondo GDPR
Ecco cosa vi offre Ability Services per la messa a norma
secondo il GDPR della vostra azienda o della vostra attività professionale:
1) Un ebook informativo gratuito realizzato dal nostro team: la Guida alla Messa a norma
secondo il GDPR. Ben 369 pagine di informazioni, considerazioni, valutazioni, con il testo completo del GDPR.
Potrete
scaricarlo gratuitamente compilando il modulo di richiesta.
2) Attività di Audit iniziale gratuita e senza impegno sullo sato di conformità e
adeguatezza delle pratiche della Vostra azienda, che si conclude con la produzione di una accurata relazione che indica
lo stato dell'arte e le criticità da risolvere.
3) Redazione di una specifica proposta di adeguamento alla normativa in considerazione delle
prescrizioni del GDPR, un vero e proprio studio di fattibilità
con dettaglio degli interventi previsti e costi relativi.
4) Seguito Vostro ordine di lavoro, attuazione del piano di adeguamento con conseguente
realizzazione delle necessarie attività e produzione ddi tutta la documentazione necessaria, realizzata espressamente per la vostra
azienda.
5) Monitoraggio, con revisione periodica ed attività consulenziale.
6) Eventuale Servizio di DPO (Data Protection Officer) in outsourcing,
opportunità prevista dal Gdpr (Art. 37). Calibrato sulle specifiche esigenze dell’azienda, il DPO assume i compiti previsti
verso l’azienda e l’esterno.