- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
La privacy entra nell’era-sanzioni. Una check list contro i passi falsi
A quasi un anno dal debutto del regolamento europeo – il cosiddetto Gdpr, diventato operativo il 25 maggio 2018 – il tema della privacy torna a imporsi nella vita degli studi professionali. Nei giorni scorsi è, infatti, scaduto il periodo di tolleranza concesso dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza e per molti può essere necessario effettuare un check up degli adempimenti per non farsi trovare impreparati.
Il «grace period»
A prevedere un periodo di grazia non è stato direttamente il Gdpr, ma il decreto legislativo 101/2018, che ha adeguato la vecchia normativa nazionale sulla privacy al nuovo sistema europeo. Il comma 13 dell’articolo 22 del Dlgs prevedeva che per otto mesi a partire dal 19 settembre scorso – data di entrata in vigore del decreto – il Garante della privacy tenesse conto, nell’applicazione delle sanzioni amministrative, della novità delle regole sulla tutela dei dati in chiave Ue. Un “occhio di riguardo” che doveva, naturalmente, essere compatibile con l’impianto del Gdpr.
Bilanciamento a cui l’Autorità guidata da Antonello Soro ha posto attenzione, preparandosi, allo stesso tempo, a partire con le verifiche una volta scaduta la moratoria. Come il Garante ha ribadito, ora prenderà il via un programma di ispezioni – messo a punto nei mesi scorsi – che si concentrerà soprattutto sui grandi gestori di dati personali (si veda Il Sole 24 Ore del Lunedì del 6 maggio).
La check list
«Chiariamo subito – afferma Francesco De Biasi, counsel di Cleary Gottlieb – che lo studio professionale dovrebbe essere in linea con il Gdpr dal 25 maggio scorso. Il periodo di grazia, infatti, non ha sospeso l’adeguamento alle nuove regole sulla privacy». Allo stesso tempo, però, la moratoria di otto mesi può aver indotto più di un professionista (o anche gli imprenditori e la stessa Pa) a prender tempo.
Quali, dunque, i controlli da fare per sapere se lo studio è ora allineato con i nuovi obblighi sulla tutela dei dati? Si tratta di dar corso a ciò che gli addetti ai lavori definiscono privacy impact assesment. «Partirei dal tema della cybersecurity – spiega Massimiliano Masnada, partner di Hogan Lovells -, ovvero una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet, della posta elettronica. Solo per fare alcuni esempi. In buona sostanza, un check di tutti i sistemi che possono essere vulnerabili e, se aggrediti, comportare una perdita di dati; il cosiddetto data breach, che, se rilevante, va sempre notificato al Garante».
«Passerei – aggiunge De Biasi – al controllo dei tempi di conservazione dei dati. In questo ambito occorre un cambio culturale: spesso negli studi, ma non solo, si tende a conservare le informazioni personali per sempre. Non è così. Ci sono tempi di custodia fissati dal legislatore e vanno rispettati».
Un altro aspetto da verificare è la tenuta del registro dei trattamenti: «Tranne i casi di trattamento dei dati minimi e occasionali, è un obbligo – ricorda De Biasi – che riguarda tutti, professionisti compresi». È uno strumento che, se ben predisposto, consente di avere traccia della vita del dato dal momento in cui entra nello studio.
Ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure della privacy. «Ci si deve accertare – commenta Masnada – se gli incarichi, a partire da quello di titolare e responsabile del trattamento, sono stati ripartiti. E, come spesso capita, verificare se anche i consulenti esterni, per esempio quelli informatici, sono stati “inquadrati” e se è stato disciplinato l’accesso da parte loro ai dati dello studio».
Controlli che evitano le pesanti sanzioni amministrative previste dal Gdpr , che possono arrivare al 4% del fatturato (si veda la tabella). «Senza dimenticare – afferma Masnada – il danno reputazionale. I provvedimenti del Garante sono, infatti, pubblici».
Fino a 10 milioni di euro o al 2% del fatturato
Sanzione fino a 10 milioni di euro o, per le imprese e se l’importo è superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Obblighi del titolare o del responsabile del trattamento su consenso dei minori, identificazione dell’interessato, registro delle attività di trattamento, misure di sicurezza, data breach, valutazione d’impatto, certificazione della tutela dei dati
• Obblighi dell’organismo di certificazione sulle procedure di certificazione della tutela dei dati
• Codici di condotta
Fino a 20 milioni di euro o al 4% del fatturato
Sanzione fino a 20 milioni di euro o, per le imprese e se l’importo è superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Regole sulla liceità del trattamento e il consenso
• Informativa, diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati, di opposizione
• Procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali
• Norme relative al trattamento dei dati in materia di giornalismo e rapporti di lavoro
• Inosservanza di una prescrizione del Garante
Fonte: ilsole24ore.com