Controlli e applicazione delle disposizioni sanzionatorie dopo l’entrata in vigore del D. Lgs 101/18

28/09/2018
di Valentina Frediani

Il nostro sistema normativo attuale presenta non poche complessità.

Da una parte il GDPR (punto di riferimento principale) e, da pochi giorni in vigore, il decreto 101 composto da regole che vivono di vita propria e quelle che invece hanno modificato il Codice Privacy (Decreto Legislativo 196 del 2003).

L’Autorità Garante, nei prossimi mesi, dovrà gestire, da un punto di vista sanzionatorio, ciò che è stato comminato prima del 25 maggio 2018 e allo stesso tempo vigilare sull’applicazione del GDPR, in ottemperanza al “periodo” imposto dal decreto 101.

Per ciò che concerne i controlli, secondo le impostazioni della prima fase, è importante prendere in esame l’art. 22 comma 13 del D.lgs 101/18 che afferma:

“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Sta a significare che il Garante nei primi otto mesi sarà più clemente nell’erogare le sanzioni operando una valutazione di tanti fattori, così da dare a imprese e pubbliche amministrazioni modo di prendere le misure rispetto ai nuovi obblighi. Il 26 luglio scorso con la Deliberazione Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2018, l’Autorità ha reso pubblica l’attività ispettiva per il periodo luglio – dicembre 2018, realizzata di concerto con il Nucleo speciale della Guardia di Finanza, preposta al controllo e all’erogazione delle sanzioni per la violazione della normativa vigente.Essa è indirizzata agli accertamenti relativi a profili di attenzione generale per categorie di interessati nell’ambito di trattamenti effettuati da società che gestiscono banche dati di rilevanti dimensioni o soggetti che realizzano attività di telemarketing oppure istituti di credito.

Le verifiche riguardano la legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto. Al punto b, la Deliberazione estende l’attività ispettiva nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e sulle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, nonché sul rispetto dell’obbligo di informativa e sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.L’Ufficio del Garante resta comunque libero di avviare ulteriori attività istruttorie d’ufficio, oltre a quelle descritte nella Deliberazione, anche in relazione ai reclami o alle segnalazioni pervenute. Queste ultime risultano decisamente in aumento registrando un +42% dall’entrata in vigore del GDPR.

GDPRViene da porsi il quesito sul fatto che l’art. 22 comma 13 previsto dal D.lgs 101/18 possa essere in dissonanza con l’attività prevista dal Garante della Privacy nella Deliberazione suddetta. Esso deve invece esser letto nella semplice prospettiva che, per i seguenti 8 mesi dall’entrata in vigore del decreto, i controlli della Guardia di Finanza saranno più clementi.

Il decreto 101/18 introduce il nuovo articolo 166 rubricato Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimento correttivi e sanzionatori.Il primo comma dell’articolo citato elenca una serie di violazioni che saranno soggette alla sanzione amministrativa di cui all’art.83, paragrafo 4, del Reg. UE 679/16.
Nello specifico, in conformità al paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.Le disposizioni riguardano:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Il secondo comma del medesimo art. 166 D.lgs 101/18 elenca altre violazioni che saranno sottoposte alla sanzione amministrativa di cui all’art. 83, paragrafo 5 del Reg. UE 679/16, ed in particolare esse riguardano:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6,7  e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del Capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

Quanto detto equivale a dire che sarà il Garante a stabilire in concreto l’entità della pena pecuniaria in rapporto alla violazione riscontrata in sede ispettiva.

Riproduzione riservata ©

ALTRE NEWS

ePrivacy e cookies. Novità e integrazioni con GDPR

ePrivacy e cookies, l’Unione europea si esprime nuovamente sui biscottini della rete. Finalmente è arrivato il via libera anche alla Proposta di Regolamento “relativo al… Leggi Tutto

Cloud e Regolamento Europeo
Regolamento Europeo e Cloud: nuove regole per la nuvola

Uno dei principali effetti determinati dalla globalizzazione riguarda la possibilità di trasferire enormi quantità di dati all’estero. L’abbattimento delle distanze geografiche e l’estensione di quelle… Leggi Tutto

Internet of Things. Privacy e sicurezza i punti cardine della Consultazione del Garante

Considerata da molti una delle rivoluzioni tecnologiche che impatteranno con maggiore risonanza nelle nostre vite durante il prossimo decennio, quella dell’Internet of Things – Internet… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.