News

3 Dic 2019

GDPR E SANZIONI: COSA SUCCEDE UN ANNO DOPO

L’articolo 83 del Regolamento UE 2016/679 (GDPR) è molto chiaro nella descrizione del modello sanzionatorio. LE MULTE GDPR COINVOLGONO TUTTI: PICCOLE, MEDIE E GRANDI IMPRESE, non importa quanto sia strutturata un’azienda: il Regolamento Europeo coinvolge tutti, senza distinzione.

L’Italia con il decreto di adeguamento al GDPR, il D.Lgs. 10 agosto 2018, n. 101, accanto alle sanzioni amministrative, conferma le sanzioni penali previste dal Codice Privacy.

Nel primo semestre 2019, l’autorità ha segnalato l’iscrizione a ruolo di 779 contravventori che porterà ad una riscossione complessiva di circa 11 milioni di euro.

A breve si concluderà l’iter per l’iscrizione di altri 500 trasgressori. L’avvio della procedura esecutiva per un numero così rilevante di casi fa seguito alla scarsa adesione alla sanatoria introdotta dal d.lgs n. 101/2018.

Sugli oltre 1300 contravventori che rientravano nell’ambito di applicazione del decreto solo 88 si sono avvalsi di questa facoltà, versando un totale di 386.400 euro.

Nei primi sei mesi del 2019, inoltre, il Garante dichiara che sono state realizzate 65 ispezioni, che hanno interessato call center, aziende di marketing, società che rilasciano Spid, grandi alberghi, banche dati di rilevanti dimensioni della pubblica amministrazione.

Nello stesso periodo le entrate derivanti dall’attività sanzionatoria sono state pari a 1.222.955 euro e 86 sono state le ordinanze adottate, alcune relative a casi complessi riguardanti molteplici violazioni, per un totale di 3.250.390 euro.

CHE COSA DEVONO FARE LE AZIENDE ITALIANE PER TUTELARSI?

La tua azienda rispetta la normativa?

Per qualunque dubbio o assistenza SGI vi può affiancare nella gestione del Vostro “Sistema di Gestione della Privacy”.

Lo scopo è quello di adeguare la Vostra impresa in maniera semplice e veloce agli adempimenti legislativi attraverso la progettazione, implementazione e/o revisione del “processo privacy”.

Sicuramente far tesoro dei provvedimenti, facendo proprio il concetto di Accountability (responsabilizzazione), avendo consapevolezza della necessità dell’esistenza di una giustificazione in ogni decisione compiuta.

Le disposizioni generali devono essere lette come tali e poi applicate facendo riferimento alle singole realtà professionali. Siti web e portali e-commerce, artigiani, studi professionali, negozi, ciascun soggetto è chiamato a verificare la propria conformità sulla base del tipo di attività svolta e del reale trattamento dei dati.

Alcuni adempimenti sono infatti non necessari, mentre altri sono solo “consigliati” per imprese con un numero di dipendenti inferiore a 250.

In generale, ogni realtà che tratta dati sensibili e su larga scala deve:

  • Nominare un Responsabile della Protezione dei Dati (RPD), figura indicata come Data Protection Officer (DPO), formato ad hoc con l’incarico di agevolare l’attuazione del regolamento da parte del titolare del trattamento dei dati personali, che deve ottenere il consenso libero e informato degli utenti interessati;
  • Tutelare la riservatezza dei dati mediante impiego di crittografia, impedendone la fruizione da parte di soggetti non autorizzati;
  • Rispettare le procedure standard di protezione (cifratura dei dati e pseudonimizzazione) e verificare le misure tecniche adottate per garantire la piena integrità dei sistemi e dei servizi di trattamento;
  • Ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico, dando avviso immediato al Garante Privacy in caso di fuga di dati o attacco esterno;
  • Redigere un registro delle attività con i dettagli sulle policy aziendali e sulle procedure adottate (obbligatorio per le aziende con più di 250 dipendenti e per tutte le imprese che effettuano trattamenti ritenuti rischiosi o relativi a precise categorie di dati sensibili).