Come noto, dal 25/05/2018 sono diventate operative le disposizioni contenute nel nuovo Regolamento Europeo Privacy (Reg. UE 2016/679) (Cosiddetto “GDPR“, acronimo di General Data Protection Regulation), che tutela appunto il trattamento dei dati personali delle persone fisiche. Dal versante nazionale, il 19 settembre 2018 è entrato in vigore il decreto di armonizzazione (D. Lgs. n. 101/2018) tra il GDPR e il codice privacy italiano (D. Lgs. n. 196/2003). Di fatto, il precedente codice privacy NON viene abrogato (sostituito) dal GDPR, ma continua ad essere efficace, potremmo dire in parallelo, con il GDPR stesso.
Coloro che NON risultassero conformi al nuovo Regolamento rischiano sanzioni amministrative fino a € 20 milioni o fino al 4% del fatturato mondiale nel caso di gruppi di imprese, nonché – per i casi più gravi – sanzioni penali.
Il presente articolo è redatto allo scopo di fornire alcuni brevi cenni in relazione ai poteri attributi al Garante Privacy, alla procedura previste per le attività ispettive svolte da quest’ultima ed a come prepararsi per una ipotetica ispezione.
Al fine di verificare il rispetto della normativa de qua, l’art. 58, par. 1, del GDPR, attribuisce all’autorità di controllo (Garante) una serie di poteri di indagine, tra cui:
Da quanto sopra è possibile evincere un potere significativamente marcato in capo all’Autorità, il cui ambito di indagine pare NON conoscere limite in termini di accesso a dati personali, locali, mezzi di trattamento, nonché ogni altra informazione ritenuta necessaria.
Va osservato che il NON consentire detti accessi costituisce violazione di particolare gravità, alla quale è associata una sanzione fino a 20 milioni di euro, o fino al 4% del fatturato globale (art. 83, par. 5, GDPR). Come se ciò NON bastasse, il D. Lgs. n. 101/2018 ha previsto una forma di reato specifica riguardante la condotta di chi fornisce dichiarazioni false al garante o ne interrompe l’attività nell’esercizio dei relativi poteri (art. 168).
Con specifico riferimento al potere di indagine, con Regolamento del Garante n. 1/2019 è stata disciplinata la procedura interna dell’attività del Garante medesimo, avente rilevanza esterna. Tra le altre disposizioni, in relazione alle procedure di ispezione, di seguito si indicano alcuni aspetti rilevanti:
L’attività di ispezione avrà ad oggetto la verifica della conformità dei trattamenti dei dati personali nel rispetto ai principi sanciti dalla nuova normativa: Liceità, correttezza e trasparenza della modalità e finalità del trattamento; Limitazione dello scopo del trattamento; Minimizzazione dei dati raccolti; Esattezza dei dati raccolti; Limitazione temporale del trattamento; Integrità e riservatezza dei dati raccolti.
A tal fine, a titolo indicativo, le attività svolte dal Garante riguarderanno:
Si ricorda infine che uno dei principi cardine del GDPR, ovvero quello di accountability, prevede che siano le imprese stesse a determinare quali siano gli strumenti e le misure (di carattere organizzativo, formativo, informatico, cartaceo, etc.) più adatti per adeguarsi al Regolamento, in un’ottica di responsabilizzazione dell’impresa. Lo stesso principio prevede un onere probatorio a carico dell’impresa, la quale dovrà appunto essere in grado di dimostrare (documentalmente) di aver adottato le misure necessarie ai fini dell’adeguamento alla nuova normativa ed avere quindi ridotto i rischi individuati. Tale onere potrà essere assolto con il Modello Privacy, il Registro dei Trattamenti, gli atti di nomina, la DPIA nei casi in cui è prevista.
Contrattualistica Compliance privacy Contenzioso Internazionale
Visita il sito