Il GDPR è entrato in vigore il 25 maggio 2018 e, tutto sommato, le aziende italiane non se la stanno poi cavando così male nell’adeguarsi alle novità in materia di trattamento dei dati, consenso, diritto all’oblio e altri adempimenti connessi.
Nonostante ciò, è bene non abbassare la guardia e ricordare che in caso di mancato adeguamento, imprese e professionisti possono incorrere in:
- – sanzioni amministrative;
- – sanzioni penali;
- – richieste di risarcimento danni;
- – divieto di trattamento dei dati personali raccolti fintantoché non venga ripristinata la conformità mancante.
LE SANZIONI AMMINISTRATIVE PREVISTE DAL GDPR
All’art.83, il Regolamento UE 2016/679 indica le sanzioni amministrative previste in caso di mancato adeguamento.
Il loro importo massimo può essere:
- – di 10 milioni di euro o pari al 2% del fatturato dell’anno precedente.
Per le imprese che non abbiano nominato il DPO, comunicato eventuali data breach all’Autorità Garante, violato le condizioni sul consenso al trattamento dei dati di minori o che abbiano trattato in maniera illecita i dati personali degli utenti; - – di 20 milioni di euro o pari al 4% del fatturato dell’anno precedente.
Per le imprese che abbiano trasferito illecitamente dati personali in altri Paesi o che non abbiano osservato un ordine imposto dal Garante.
Questi importi rappresentano dei massimali indicativi: ogni sanzione viene commisurata alla gravità, alla natura o alla durata della violazione al GDPR, al numero di soggetti coinvolti e alla sostanza dolosa o colposa.
LE SANZIONI PENALI PREVISTE DAL GDPR
All’art.84, il GDPR spiega che è compito degli stati membri stabilire norme e altre sanzioni non amministrative.
In Italia, le sanzioni penali in materia sono disciplinate dal Codice della Privacy del 2003.
Il Codice contempla 5 possibili violazioni:
- – il trattamento illecito dei dati (articolo 167);
- – la comunicazione e la diffusione illecita dei dati personali oggetto di trattamento su larga scala (articolo 167-bis);
- – l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (articolo 167-ter);
- – dichiarazioni false al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (articolo 168);
- – l’inosservanza dei provvedimenti del Garante (articolo 170).
La sanzione penale può raggiugnere i 6 anni di reclusione.
ALTRI REATI IN MATERIA DI PRIVACY
Dato il periodo storico contraddistinto dal COVID e dal ricorso allo smart working, è importante sottolineare anche l’esistenza delle violazioni in materia di controlli a distanza dei lavoratori (art. 4, comma 1 e all’art. 8 del Codice della Privacy).
Gli impianti audiovisivi o altri strumenti che permettano di controllare a distanza l’attività dei lavoratori devono essere utilizzati dai datori di lavoro per sole esigenze organizzative e produttive, per la sicurezza o la tutela del patrimonio aziendale.
Inoltre, va ricordato che le interferenze illecite nella vita privata perpetrate tramite strumenti di ripresa visiva o sonora rappresentano un reato punito con la reclusione da 6 mesi a 4 anni e che la stessa pena ricade anche su chi rivela o diffonde al pubblico notizie o immagini ottenute in tal modo.
A COSA PRESTARE ATTENZIONE
Lo scopo del GDPR è responsabilizzare aziende e professionisti sulla raccolta, l’uso e la conservazione dei dati personali altrui.
I controlli sono compito della Guardia di Finanza che pone particolare attenzione su 3 adempimenti:
- – la nomina del DPO, il responsabile della protezione dati;
- – le misure previste in caso di data breach, dal più limitato al più grave;
- – il registro dei trattamenti, un documento interno, sempre aggiornato, che serve a identificare i soggetti coinvolti nel trattamento dei dati, quali categorie di dati sono trattate, per quali motivi, chi vi può accedere, a chi vengono comunicati, per quanto tempo vengono conservati, ecc. Va esibito in caso di verifiche.
Vuoi assicurarti che la tua attività rispetti il GDPR? Scopri i servizi privacy per avvocati e privacy per aziende di Servicematica.
——–
LEGGI ANCHE:
Il marketing legale non viola il codice deontologico, a patto che…