LE VIOLAZIONI DELLA PRIVACY ED IL PROCEDIMENTO SANZIONATORIO ROMA, 12 APRILE 2017

Transcript

1 LE VIOLAZIONI DELLA PRIVACY ED IL PROCEDIMENTO SANZIONATORIO ROMA, 12 APRILE 2017

2 L OPPORTUNITÀ GDPR Registrazione partecipanti Cosa comporta la direttiva Europea GDPR ü Le violazioni della privacy ed il procedimento sanzionatorio Nuova figura del DPO e la sua formazione Break L approccio OmintechIT a supporto della GDPR? L Assessment integrato Tecnologico e Organizzativo Q&A CLASSIFICATION LEVEL: UNCLASSIFIED

3 APPARATO SANZIONATORIO IL TRATTAMENTO SANZIONATORIO VIENE UNIFORMATO E INASPRITO IN TUTTI GLI STATI MEMBRI UE. Il sistema sanzionatorio previsto dal GDPR prevede un quadro sanzionatorio unico ed armonizzato in tutti i Paesi UE. È volto ad uniformare il quadro sanzionatorio negli Stati UE. Ad oggi l entità delle sanzioni, i criteri adottati dal Garante hanno cospicue divergenze in ambito UE. Le sanzioni sono state rafforzate, soprattutto nella loro entità.

4 REGOLAMENTO EUROPEO ART. 82 Il Reg. UE prevede una responsabilità risarcitoria civile (art. 82) da danno da trattamento che viene meglio codificato rispetto all attuale previsione del codice (art. 15 chiunque cagione un danno ad atri per effetto del trattamento dei dati è tenuto al risarcimento ai sensi dell art c.c. Responsabilità per esercizio da attività pericolosa) Meccanismi di ripartizione della responsabilità risarcitoria tra titolare (che violi) ed il responsabile (non adempiuto agli obblighi/ ha agito in modo difforme o contrario) Responsabilità in solido e azione di regresso Clausola di esonero da responsabilità se dimostra che l evento dannoso non gli è in alcun modo imputabile SANZIONI PENALI (ART. 84) Il Reg. UE prevede che saranno gli Stati membri a stabilire le norme relative alle altre sanzioni assicurandone la proporzionalità e l efficacia dissuasiva. Con riferimento all Italia, non è da escludere il mantenimento dell attuale quadro sanzionatorio per illeciti penali delineato dal Codice Privacy, con le necessarie modifiche in funzione de nuovo quadro di obblighi e requisiti previsti dal Reg. UE.

5 REGOLAMENTO EUROPEO ART. 83 Il GDPR prevede che l autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici (ad esempio, la natura dei dati, la gravità e la durata della violazione, il carattere doloso o colposo della stessa, le misure adottate dal Titolare; la recidività, il nocumento causato; l adesione a meccanismi di certificazione). Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa. Il Reg. UE ha aumentato l ammontare delle sanzioni amministrative pecuniarie che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo. CLASSIFICATION LEVEL: UNCLASSIFIED

6 LE SANZIONI AMMINISTRATIVE PECUNIARIE: GLI IMPORTI Sanzioni amministrative pecuniarie fino a 10 mil o per le imprese fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore ARTICOLI 5, 6, 7, 9 (principi di base e consenso), da 12 a 22 (informativa e diritti degli interessati), da 44 a 49 (trasferimenti transfrontalieri), inosservanza di ordini dell Autorità ARTICOLI 8 (consenso dei minori), 11, 25 (privacy by design e by default), 26, 27, 28, 29 (norme su titolari e responsabili), 30 (registri attività trattamento), da 31 a 34 (sicurezza e disclosure di data breach), 35 e 36 (valutazione d impatto e consultazione preventiva), da 37 a 39 (norme sul DPO), 42 e 43 (certificazioni) Sanzioni amministrative pecuniarie fino a 20 mil. o per le imprese fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore CLASSIFICATION LEVEL: UNCLASSIFIED

7 PARAMETRI IN SEDE DI APPLICAZIONE DELLE SANZIONI (ART. 83) Il Garante deve considerare: Natura, gravità e durata della violazione L elemento soggettivo, dolo o colpa Misure del titolare per ridurre il danno Grado di responsabilità Recidiva Cooperazione con l Autorità d controllo Oggetto della violazione (categoria di dati) Adesione a codici di condotta o a percorsi di certificazione

8 IMPIANTO SANZIONATORIO: - FINO A 10 MIL. - 2% FATTURATO MONDIALE ANNUO Consenso minori art. 8 Trattamento che non richiede identificazione art. 11 Protezione dei dati by design e by default art. 25 Obblighi dei contitolari art. 39 Stabilimento in ambito UE; Doveri del Responsabile del trattamento; Trattamenti consentiti; La registrazione dei trattamenti; La cooperazione con le autorità di supervisione; Sicurezza del trattamento; Notificazione del Data breach e sua comunicazione all interessato; Data Protection Impact Assessment; Prior Consultation; Designazione, Posizione, Attribuzioni del DPO; Certificazioni e organismi di certificazione artt. 42, 43 Monitoraggio dei codici di condotta; Consenso dei bambini nella società dell informazione CLASSIFICATION LEVEL: UNCLASSIFIED

9 IMPIANTO SANZIONATORIO: - FINO A 20 MIL. - 4% FATTURATO MONDIALE ANNUO Principi sul trattamento dei dati artt. 5, 6, 7, 9 Legalità del trattamento; Consenso; Trattamento di speciali categorie di dati; Diritti dell interessato artt. 12, 22 Trasferimento dei dati in ambito extra UE artt. 44, 49 Trattamento in ambito giornalistico e del diritto di espressione; Rispetto delle disposizioni delle autorità; Accesso ai dati da fonti pubbliche; Trattamento dei numeri identificativi; Trattamento dei dati del personale; Trattamenti archivistici di interesse pubblico riguardo dati scientifici, storici, di ricerca, o statistici; Obbligo di segretezza; Opinioni religiose. CLASSIFICATION LEVEL: UNCLASSIFIED

10 1.1.2 LE SANZIONI AMMINISTRATIVE IN TEMA DI DATA BREACH PRIVACY IMPACT ASSESSMENT Con il recepimento della Direttiva 136/2009/CE (D.Lgs. 69/2012) introdotte nuove disposizioni al Cod. Privacy in relazione alle comunicazioni elettroniche e alle violazioni di dati (data breach). La nuova disciplina prevede una serie di obblighi di comunicazione (al Garante e al cliente) a carico dei fornitori di servizi di comunicazione elettronica (trasmissione di segnali di rete di comunicazione elettroniche) accessibili al pubblico, su reti pubbliche di comunicazione, qualora accertino che i loro sistemi siano stati violati il cui mancato assolvimento comporta un regime sanzionatorio particolarmente afflittivo (art. 162-ter) ovvero una sanzione penale della falsità nelle notificazioni al garante (art. 168 cod. priv.)

11 1.2. GLI ILLECITI PENALI (CAPO II, TITOLO III, III PARTE COD. PRIVACY) Tutte le norme ivi contenute, anche se rivolte formalmente a Chiunque, riguardano in primis il Titolare del trattamento. È possibile che siano ritenuti colpevoli anche i Responsabili del trattamento allorquando il Titolare abbia rispettato tutti i precetti normativi ed il Responsabile li abbia violati. È necessaria una Delega di attribuzioni all interno dell azienda reale e non mezzo artificioso per scaricare la responsabilità a livelli mansionali inferiori. È quindi necessario (Cass., Sez. III pen., , n ) che: La delega sia espressa (non tacita) con contenuto chiaro in modo che il delegato sia messo in grado di conoscere le responsabilità che gli sono attribuite Il delegato sia dotato di autonomia gestionale e di capacità di spesa nella materia delegata sia, quindi, posto in grado di esercitare effettivamente la responsabilità assunta Il delegato sia dotato di idoneità tecnica in modo che possa esercitare la responsabilità con la dovuta professionalità È ipotizzabile una responsabilità anche in capo agli incaricati al trattamento in presenza di determinati comportamenti. Alla condanna per uno dei delitti importa la pubblicazione della sentenza.

12 Art Trattamento illecito di dati - Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto è punito, se dal fatto deriva nocumento, con la reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi. Se più grave con la reclusione da 1 a 3 anni. È un reato di pericolo in concreto ed effettivo e non meramente presunto in quanto il nocumento ne è elemento costitutivo. Quindi l illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento alla persona dell interessato e/o al suo patrimonio (Cass., Sez. III pen., , n ). L elemento soggettivo è il dolo specifico: la volontà e coscienza (intenzionalità) di violare le norme e la volontà di perseguire il fine di trarne profitto o di recare ad altri danno. È sufficiente il nocumento non necessariamente che il fine si realizzi (quindi l evento che ha prodotto il nocumento può anche divergere da quello voluto dal soggetto attivo). Attenzione. Il PU che comunica o diffonde dati personali in violazione della legge è punito a norma dell art. 326 c.p. rilevazione ed utilizzazione di segreti d ufficio.

13 Art Falsità nelle dichiarazioni e notificazioni al Garante 1. Chiunque, nelle comunicazioni, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato (art. 483 c.p. se PU), con la reclusione da 6 mesi a 3 anni. Tutela le funzioni di garanzia e di controllo del Garante. Dolo generico, la consapevolezza della falsità delle notizie e documenti.

14 Art Misure di sicurezza. Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza (allegato B) è punito con l'arresto sino a 2 anni. Oblazione l adempimento e il pagamento di una sanzione pecuniaria (1/4 del massimo della sanzione, circa euro) estinguono il reato Art Inosservanza di provvedimenti del Garante. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante è punito con la reclusione da 3 mesi a 2 anni. I provvedimenti di cui trattasi si intendono: A garanzia di dati sensibili (art. 26, 2 comma, Cod. Privacy) Quello di autorizzazione (art. 90) Quelli assunti a seguito di ricorso (art. 150) Quelli assunti in seguito alla proposizione di un reclamo circostanziato presentato dall interessato (art. 142) oppure di una segnalazione (art. 144)

15 2. PROCEDIMENTO SANZIONATORIO Impulso procedimentale: Su iniziativa dell Autorità Garante Sulla base di controlli della Forza dell Ordine (Carabinieri, Polizia di Stato ) sia in occasione di specifici controlli privacy sia durante lo svolgimento di altre attività di verifica ispettiva Protocollo d intesa in base al quale l Autorità si avvale della Guardia di Finanza per le attività ispettive (Nucleo Speciale Privacy)

16 SEGUE: La tutela del diritto alla protezione dei dati personali è data: dall autorità giudiziaria ordinaria (art. 152 cod. priv.) in sede amministrativa (art. 141 cod. priv.). In sede amministrativa l interessato può presentare al Garante: reclamo circostanziato (art. 142 cod. priv.). segnalazione per sollecitare un controllo (se non è possibile reclamo) ricorso (artt cod. priv.) per far valere specifici diritti di cui all art. 7 cod. priv. Non possono essere presentate richieste risarcitorie al Garante

17 RICORSO FASI: atto formale dall interessato o procura effetti giuridici alternativo all esercizio dei medesimi diritti davanti all Autorità giudiziaria solo per far valere i diritti di cui all art. 7 cod. priv. interpello preventivo dell interessato al titolare. Risposta entro 15 gg/30 gg presentazione del ricorso - se non perviene nei tempi, se insoddisfacente, se ritardo valutazione di ammissibilità procedimento Decisione (entro 60 gg) non luogo a provvedere/ rigetto (anche tacito)/ accoglimento: cessazione del comportamento illegittimo + misure necessarie Opposizione con ricorso al giudice ordinario. Passaggio in giudicato: titolo esecutivo

18 RECLAMO atto circostanziato violazione della disciplina rilevante in materia di protezione dei dati personali FASI: Proposizione: descrizione dei fatti, disposizioni violate, misure richieste, sottoscrizione. procedimento istruttoria preliminare: verificare la sussistenza degli elementi e presunte violazioni e misure richieste (supplemento istruttorio) post istruttoria preliminare: partecipazione delle parti, eventuale adesione spontanea. Decisione: blocco spontaneo del trattamento/ misure opportune/blocco e vieta in tutto o in parte il trattamnto

19 SEGNALAZIONI nei casi residui finalità di controllo da parte del Garante sulla disciplina rilevante in materia di dati senza formalismi non consegue un provvedimento del collegio perché demandata ad un dipartimento o ad altra unità organizzativa se fondata si avvia un istruttoria preliminare entro tre mesi Si seguono le regole del reclamo

20 PROCEDIMENTO SANZIONATORIO: CONTESTAZIONE La PG durante attività ispettiva: verbale di contestazione che apre il procedimento sanzionatorio e va notificato entro 90 gg. Entro 30 gg memorie e scritti difensivi/ Oblazione. Ordinanza/ingiunzione che irroga una sanzione amministrativa pecuniaria procedimento sanzionatorio davanti al Garante Privacy si chiude con un atto finale di ordinanza di ingiunzione di pagamento, che è titolo esecutivo, o di archiviazione della pratica. Qualora il contravventore ritenga la contestazione della violazione della privacy illegittima o la sanzione privacy sproporzionata rispetto alla gravità delle violazioni della privacy contestate, potrà adire all autorità giudiziaria ordinaria per far valere le proprie ragioni (Opposizione con ricorso al tribunale)

21 CONCLUSIONI: PREVENZIONE DEL RISCHIO definizione degli obiettivi secondo principi di liceità, trasparenza, pertinenza e non eccedenza del trattamento, esattezza dei dati trattati, trasparenza e semplificazione dell informativa, effettività della tutela, privacy by design e by default individuazione nei trattamenti progettati dell esistenza di rischi di violazione dei diritti degli interessati e conseguente valutazione della relativa natura, probabilità e gravità nonché degli eventuali correttivi o della opportunità di consultazione preventiva dell Autorità di controllo nel caso di rischio non attenuabile adeguata selezione dei fornitori (prestatori di servizi/list broker ) selezione dati e relative fonti e valutazione della conformità ai trattamenti progettati sviluppo di proprie informative e consensi individuazione di ruoli e responsabilità nel trattamento, all interno e all esterno dell azienda del titolare formalizzazione dei ruoli e responsabilità nel trattamento (es. contratti con responsabili / contitolari del trattamento CLASSIFICATION LEVEL: UNCLASSIFIED