Controlli e applicazione delle disposizioni sanzionatorie dopo l’entrata in vigore del D. Lgs 101/18

28/09/2018
di Valentina Frediani

Il nostro sistema normativo attuale presenta non poche complessità.

Da una parte il GDPR (punto di riferimento principale) e, da pochi giorni in vigore, il decreto 101 composto da regole che vivono di vita propria e quelle che invece hanno modificato il Codice Privacy (Decreto Legislativo 196 del 2003).

L’Autorità Garante, nei prossimi mesi, dovrà gestire, da un punto di vista sanzionatorio, ciò che è stato comminato prima del 25 maggio 2018 e allo stesso tempo vigilare sull’applicazione del GDPR, in ottemperanza al “periodo” imposto dal decreto 101.

Per ciò che concerne i controlli, secondo le impostazioni della prima fase, è importante prendere in esame l’art. 22 comma 13 del D.lgs 101/18 che afferma:

“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Sta a significare che il Garante nei primi otto mesi sarà più clemente nell’erogare le sanzioni operando una valutazione di tanti fattori, così da dare a imprese e pubbliche amministrazioni modo di prendere le misure rispetto ai nuovi obblighi. Il 26 luglio scorso con la Deliberazione Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2018, l’Autorità ha reso pubblica l’attività ispettiva per il periodo luglio – dicembre 2018, realizzata di concerto con il Nucleo speciale della Guardia di Finanza, preposta al controllo e all’erogazione delle sanzioni per la violazione della normativa vigente.Essa è indirizzata agli accertamenti relativi a profili di attenzione generale per categorie di interessati nell’ambito di trattamenti effettuati da società che gestiscono banche dati di rilevanti dimensioni o soggetti che realizzano attività di telemarketing oppure istituti di credito.

Le verifiche riguardano la legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto. Al punto b, la Deliberazione estende l’attività ispettiva nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e sulle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, nonché sul rispetto dell’obbligo di informativa e sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.L’Ufficio del Garante resta comunque libero di avviare ulteriori attività istruttorie d’ufficio, oltre a quelle descritte nella Deliberazione, anche in relazione ai reclami o alle segnalazioni pervenute. Queste ultime risultano decisamente in aumento registrando un +42% dall’entrata in vigore del GDPR.

GDPRViene da porsi il quesito sul fatto che l’art. 22 comma 13 previsto dal D.lgs 101/18 possa essere in dissonanza con l’attività prevista dal Garante della Privacy nella Deliberazione suddetta. Esso deve invece esser letto nella semplice prospettiva che, per i seguenti 8 mesi dall’entrata in vigore del decreto, i controlli della Guardia di Finanza saranno più clementi.

Il decreto 101/18 introduce il nuovo articolo 166 rubricato Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimento correttivi e sanzionatori.Il primo comma dell’articolo citato elenca una serie di violazioni che saranno soggette alla sanzione amministrativa di cui all’art.83, paragrafo 4, del Reg. UE 679/16.
Nello specifico, in conformità al paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.Le disposizioni riguardano:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Il secondo comma del medesimo art. 166 D.lgs 101/18 elenca altre violazioni che saranno sottoposte alla sanzione amministrativa di cui all’art. 83, paragrafo 5 del Reg. UE 679/16, ed in particolare esse riguardano:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6,7  e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del Capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

Quanto detto equivale a dire che sarà il Garante a stabilire in concreto l’entità della pena pecuniaria in rapporto alla violazione riscontrata in sede ispettiva.

Riproduzione riservata ©

ALTRE NEWS

Bankitalia: allungamento tempi di conservazione delle immagini

Bankitalia ha richiesto al Garante di poter allungare i tempi di conservazione delle immagini dell’impianto di videosorveglianza presso il proprio stabilimento di produzione, confezionamento e… Leggi Tutto

Linee guida Fascicolo Sanitario Elettronico (FSE): obiettivi

L’Agenzia per l’Italia digitale ha pubblicato in data 31 marzo 2014 le linee guida per la presentazione dei piani di progetto regionali per la realizzazione… Leggi Tutto

Prorogato al 31 dicembre 2004 il dps privacy

Slittano  le scadenze previste per gli adempimenti principali dettati dal Codice in materia di protezione dei dati personali entrato in vigore il primo gennaio 2004…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form