Sanzioni ad aziende in Europa per infrazioni al Regolamento sulla protezione dei Dati

Com’era nelle previsioni, il Garante per la privacy ha dato inizio alle ispezioni sul rispetto del Dlgs 101/2018 (che recepisce il GDPR per l’Italia) avvalendosi della Guardia di Finanza.
GDPR - Sanzioni in Arrivo

Il GDPR ha interessato ed interessa un numero enorme di aziende e realtà professionali obbligate a rivedere in toto, o a definire e strutturare in modo conforme alla normativa stessa, le proprie politiche inerenti il trattamento dei dati personali

Il periodo di tolleranza in Italia per le inadempienze al nuovo regolamento, previsto dall’art. 22 del Decreto legislativo 10 agosto 2018 n. 101,
è giunto al termine. A partire dal 20 maggio 2019 il Garante può applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Tutte le aziende e le PA devono essere pronte per sostenere eventuali controlli o ispezioni gestiti e organizzati direttamente dalla Guardia di Finanza.

In che modo una Azienda deve predisporsi per dimostrare la propria volontà di essere conforme al GDPR in caso di verifica richiesta dal Garante?

  •  In caso di ispezione in ambito privacy, l’azienda dovrà dimostrare, fin dalla prima fase della verifica,
     di non aver adempiuto soltanto a livello formale, ma di aver intrapreso un percorso di sensibilizzazione capillare rivolto a tutti i livelli/aree aziendali. In tal modo sarà possibile individuare immediatamente la figura di riferimento in caso di verifica.
  • Si ritiene che la rapidità e la prontezza in questo primo passaggio possano, almeno in parte, determinare l’andamento delle fasi successive. Ovviamente è fermamente consigliabile un atteggiamento collaborativo e proattivo da parte del Titolare.
  • Risulta altresì opportuno concentrarsi sulle richieste/quesiti formulati dall’organo ispettivo, fornendo la documentazione inerente e le valutazioni che giustificano le scelte effettuate in materia. In altre parole, è necessario arginare il rischio di andare fuori tema. Centrale diventa quindi la figura del Data Protection Officer (DPO) che coordinerà e guiderà le figure aziendali coinvolte.
GDPR PER WEB

Scarica la Sintesi Ufficiale del Garante Privacy

Linee guida per Enti ed Aziende
Clicca qui

 Quali sono state le modalità delle prime verifiche condotte dalla GdF su indicazione del Garante e quali sono stati i punti di maggior attenzione da parte degli ispettori?

 

Si parla di controlli molto dettagliati per individuare

  • Chi sono i soggetti coinvolti e che trattamento del dato avviene.
  • Verifica delle corrette nomine degli stessi, e poi, in maniera più approfondita,  in che modo questi dati vengono raccolti, archiviati e utilizzati
  • Un approfondimento sulla struttura della rete aziendale e sulla dislocazione dei server e sulla gestione della loro sicurezza.

Durante le ispezioni della GdF si può dire siano due le parole chiave: 

Accountability: dar conto di ogni decisione presa e dimostrare di aver agito con responsabilità seguendo linee guida coerenti e adatte al tipo di trattamenti svolti, e che le misure adottate fossero state scelte perché adeguate.

Documentazione: una raccolta meticolosa di ogni tipo di documento per dimostrare le azioni fatte: documenti che attestassero la formazione svolta; e-mail di convocazione di riunioni; circolari inviate al personale e tutto quello che era ritenuto utile a dimostrare le dichiarazioni rilasciate.

Alcuni esempi delle Sanzioni applicate in Europa dai Garanti Nazionali

Con provvedimento n. 83 del 4 aprile 2019, il Garante per la Protezione dei Dati Personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del GDPR, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento. In realtà sulla scorta di scandali e segnalazioni precedenti (come il data breach del 2017) la piattaforma “Rousseau” era già da tempo “attenzionata” dal Garante che con provvedimento del 21 dicembre 2017 aveva già richiesto un attento riesame delle condizioni di sicurezza e la correzione di diverse criticità.
Garante privacy italiano alla Associazione Rousseau
Con provvedimento del 14 febbraio 2019 il Garante per la Protezione dei Dati Personali italiano ha stabilito la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali. In questo caso è stata punita la condotta del professionista consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso. Innanzitutto, il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso,
Garante privacy italiano ad un medico
Nel mese di ottobre 2018 l’Autorità Garante della Privacy austriaca ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti senza alcuna giustificata motivazione e senza idonea informativa rilasciata con apposita cartellonistica. Tutto ciò in violazione dei principi della privacy più comuni, in quanto venivano ripresi i volti dei passanti senza che essi ne fossero debitamente informati.
Azienda Austriaca
Precedente
Successivo

Cosa vi offre Obiettivo Ambiente per la consulenza ed adeguamento al GDPR?

 

Appare chiaro che per essere a norma secondo il GDPR è bene rivolgersi a professionisti qualificati in possesso di una ottima preparazione tecnica ed in possesso di strumenti adeguati, e che è assolutamente consigliato di evitare soluzioni “fai da te”. Trovare chi sia effettivamente in grado di fornire un servizio efficace e con un buon rapporto qualità-prezzo non è però operazione semplicissima. 
Ecco cosa vi offre Obiettivo Ambiente per la messa a norma secondo il GDPR della vostra azienda:
 

 

  1. Attività di Audit iniziale senza impegno, per fare il punto sull’attuale situazione, che si conclude con la produzione di una relazione che indica lo stato dell’arte e le criticità da risolvere.

  2. Redazione di una specifica proposta di adeguamento alla normativa in considerazione delle prescrizioni del GDPR, un vero e proprio studio di fattibilità con dettaglio degli interventi previsti e costi relativi.

  3. Attuazione del piano di adeguamento con conseguente realizzazione delle necessarie attività e produzione di tutta la documentazione richiesta (realizzata espressamente per la vostra azienda).

  4. Monitoraggio, con revisione periodica ed attività consulenziale.

  5. Eventuale Servizio di DPO (Data Protection Officer) esterno, opportunità prevista dal Gdpr (Art. 37). Calibrato sulle specifiche esigenze dell’azienda.
Per le Persone - Con le Aziende

 

0
Audit Svolti
0
Adeguamenti GDPR
0
Formazione Aziendale sulla Privacy

 

Alcuni dei nostri Clienti

Clienti Obiettivo Ambiente

Iscriviti alla nostra Newsletter

Certificazioni Obiettivo Ambiente

OBIETTIVO AMBIENTE SRL

SOCIETÀ UNIPERSONALE
Corsi di Formazione Finanziata e Consulenza alle Aziende in materia di Sicurezza sul Lavoro, Prevenzione Incendi, Acustica, Sistemi di gestione, Medicina sul Lavoro, ISO, Privacy, GDPR, Ambiente, a Padova e nel Veneto.

VIALE DELLA NAVIGAZIONE INTERNA, 35 – 35129 PADOVA (PD)
C.F. e P.I. 03809310281 – CODICE SDI: USAL8PV
TEL: 049/628475 – 049/8935749
MAIL: segreteria@obiettivoambiente.com

Powered by WebsonicaWebsonica Agenzia Web Marketing

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt