Adempimenti del datore di lavoro nella nuova privacy di Giovanni Di Corrado - Consulente del lavoro

Transcript

1 Adempimenti del datore di lavoro nella nuova privacy di Giovanni Di Corrado - Consulente del lavoro ADEMPIMENTO " SOGGETTI " SCHEDA PRATICA Il Regolamento europeo sulla privacy, con riferimento al trattamento dei dati personali, va applicato da parte del titolare, nell'ambito delle attività del proprio stabilimento o ubicazione. Con il nuovo Regolamento si ha una forte responsabilizzazione (c.d. ``accountability'') di alcune figure, tra le quali quella del titolare, in merito all adozione di comportamenti proattivi che siano tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l applicazione del Regolamento. In sostanza viene affidato al titolare il compito di decidere autonomamente i modi, le garanzie ed i limiti del trattamento dei dati personali, purché vengano comunque rispettati la normativa e i criteri indicati nel Regolamento. Compito del titolare è, altresì, quello di far bilanciare il suo legittimo interesse al trattamento dei dati personali, con i diritti e le libertà del soggetto interessato, poiché ciò costituisce una delle principali espressioni del principio di responsabilizzazione. Con riferimento ai diritti dell'interessato, in base al diritto all'oblio egli ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l obbligo di cancellare i dati personali, se sussiste uno dei motivi indicati dal Regolamento all art. 17; allo stesso modo, l interessato ha il diritto di ottenere dal titolare del trattamento, la limitazione del trattamento stesso quando ricorre una delle condizioni previste all art. 18 del Regolamento. Secondo il diritto alla portabilità dei dati il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare indicato dall interessato, se tecnicamente possibile. I titolari di trattamenti sono, inoltre, in determinati casi previsti, obbligati a nominare il responsabile della protezione dei dati, a fornire all interessato adeguata informativa, a tenere ed aggiornare il registro del trattamento (ad eccezione delle imprese con meno di 250 dipendenti, salvo casi particolari). Il consenso dell'interessato è una delle basi giuridiche del trattamento e cioè un adempimento che giustifica e rende legittimo il trattamento dei dati personali. Tutti i titolari del trattamento sono obbligati a garantire un livello di sicurezza adeguato al rischio del trattamento dei dati ed in caso di probabile rischio per i diritti e le libertà delle persone fisiche, il titolare può procedere con una valutazione di impatto del trattamento previsto sulla protezione dei dati personali. Dal 25 Maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo, però solo se ritengano che da tale violazione possano derivare rischi per i diritti e le libertà degli interessati. Titolare del trattamento: persona fisica o giuridica, Autorità pubblica, servizio o altro organismo che determina le finalità ed i mezzi del trattamento di dati personali. Contitolari del trattamento: due o più titolari del trattamento che determinano congiuntamente le finalità ed i mezzi del trattamento. Interessato: persona fisica cui si riferiscono i dati personali. PRATICA LAVORO n. 10 del 19 maggio

2 PRECONDIZIONI " FLUSSO DI LAVORO " TERMINI E SCADENZE " SANZIONI " FONTI Il Regolamento europeo trova applicazione lì dove occorre proteggere i diritti e le libertà fondamentali delle persone fisiche, con particolare riferimento ai loro dati personali. Vari sono gli adempimenti da assolvere, specie da parte del titolare, in particolare: valutare la situazione attuale nel contesto di riferimento, in materia di privacy; in caso di contitolarità, definire specificatamente, con l'altro titolare, il rispettivo ambito di responsabilità ed i compiti riguardo l esercizio dei diritti degli interessati; scegliere i comportamenti proattivi da adottare alla luce del rispetto del principio della responsabilizzazione (accountability); rispondere all interessato in caso di eventuali richieste in merito a diritti che gli competono, e adottare misure tecniche ed organizzative per favorire l'esercizio dei diritti dell'interessato stesso; procedere alla nomina del responsabile della protezione dei dati, ma solo in caso di enti pubblici; di titolari che svolgono trattamenti su larga scala relativi al monitoraggio sistematico di persone; di titolari che svolgono trattamenti di particolari categorie di dati; predisporre misure di sicurezza adeguate al rischio del trattamento; effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali, in caso di trattamenti che richiedono l uso di nuove tecnologie e la cui finalità presenti un rischio elevato per i diritti e le libertà delle persone fisiche; fornire l'informativa all'interessato prima di effettuare la raccolta dei dati; raccogliere il consenso manifestato al trattamento dei dati; tenere il registro del trattamento dei dati, ad eccezione delle imprese con meno di 250 dipendenti; notificare all Autorità di controllo, eventuali violazioni di dati personali (data breach)di cui il titolare stesso venga a conoscenza se è probabile che dalla violazione derivino rischi per i diritti e le libertà degli interessati. Dal 25 Maggio 2018, vi sarà l abrogazione del vigente Codice in materia di protezione dei dati personali, di cui al D.Lgs. n. 196/2003 ed acquisteranno efficacia le disposizioni del Regolamento europeo 2016/679/UE in tutti gli Stati Membri dell'u.e. Il Regolamento disciplina il sistema sanzionatorio amministrativo. Le sanzioni sono divise in due gruppi: 1º gruppo, riguardante tra le altre cose, la violazione di obblighi del titolare, arriva fino a 10 milioni di euro o al 2% del fatturato dell'impresa; 2º gruppo, riguardante le violazioni dei diritti degli interessati e delle condizioni del trattamento, arriva fino a 20 milioni di euro o al 4% del fatturato dell'impresa. Vige il principio, con riferimento alla responsabilità civile, che chiunque subisce un danno materiale o immateriale, causato da una violazione del Regolamento, ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Regolamento europeo 2016/679/UE Legge di delegazione europea 25 Ottobre 2017, n. 163, art. 13 D.Lgs. 30 Giugno 2003, n PRATICA LAVORO n. 10 del 19 maggio 2018

3 ADEMPIMENTO " Così come si legge all art. 3 del Regolamento europeo sulla privacy, esso si applica: al trattamento dei dati personali effettuato nell ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell Unione europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell Unione; al trattamento dei dati personali di interessati che si trovano nell Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell Unione, quando le attività di trattamento riguardano: a) l offerta di beni o la prestazione di servizi ai suddetti interessati nell Unione, indipendentemente dall obbligatorietà di un pagamento dell interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all interno dell Unione; al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Ogni trattamento deve trovare fondamento in una idonea base giuridica e l impresa o ente deve verificare quali siano le condizioni alle quali i dati devono essere trattati (principio di liceità, trasparenza, etc). In caso di contitolarità del trattamento, i titolari devono specificatamente definire, con un atto giuridicamente valido ai sensi del diritto nazionale, il rispettivo ambito di responsabilità e i compiti con particolare riguardo all esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente ad uno qualsiasi dei titolari operanti congiuntamente. Si ha una forte responsabilizzazione (c.d. accountability ) del titolare, in quanto spetta a lui l adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l applicazione del Regolamento. Viene infatti affidato ad egli il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici individuati nel Regolamento, come: il primo criterio si può comprendere facendo riferimento all espressione inglese data protection by default and by design, ossia la necessità di configurare il trattamento prevedendo fin dall inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati e tutto ciò deve avvenire prima di procedere col trattamento dei dati vero e proprio, richiedendo pertanto, da parte del titolare del trattamento, una analisi preventiva ed un impegno concreto, che si realizzano mediante una serie di attività specifiche e dimostrabili; il secondo riguarda il rischio inerente al trattamento, da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati. Tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche ed organizzative che il titolare ritiene di dover adottare per mitigare tali rischi. Al termine di tale processo di valutazione, il titolare potrà decidere autonomamente se iniziare il trattamento, ovvero se consultare l Autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale. Il titolare deve far bilanciare il suo legittimo interesse al trattamento dei dati personali con i diritti e le libertà del soggetto interessato, in virtù del principio di responsabilizzazione; dunque, l interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell interessato per costituire un valido fondamento di liceità. In merito ai diritti dell interessato, il titolare del trattamento adotta misure appropriate per fornire all interessato tutte le informazioni relative al trattamento in forma trasparente e chiara e consente all interessato la consultazione dei propri dati personali. L interessato può ottenere dal titolare del trattamento la cancellazione dei dati personali che PRATICA LAVORO n. 10 del 19 maggio

4 lo riguardano senza ingiustificato ritardo (diritto all oblio) e il titolare del trattamento ha l obbligo di cancellare i dati personali, se sussiste uno dei motivi indicati dal Regolamento all art. 17; allo stesso modo, l interessato ha il diritto di ottenere dal titolare del trattamento, la limitazione del trattamento quando ricorre una delle condizioni previste all art. 18 del Regolamento. Secondo il diritto alla portabilità dei dati, inoltre, il titolare deve poter trasferire direttamente i dati portabili ad un altro titolare indicato dall interessato, se tecnicamente possibile. È opportuno precisare, inoltre, che il titolare del trattamento agevola l esercizio dei diritti dell interessato fornendogli senza ingiustificato ritardo, le informazioni relative ad una eventuale azione intrapresa riguardo ad una richiesta (come appunto la richiesta di accesso ai dati, di cancellazione, di limitazione del trattamento, di portabilità dei dati etc.). Devono nominare il responsabile della protezione dei dati (soggetto dotato di indipendenza, particolare autorevolezza, competenze manageriali, etc.) tutti gli enti pubblici (tranne gli Organi giudiziari per trattamenti per fini di giustizia) e due categorie di titolari di trattamenti privati ovvero coloro che, come attività principale, svolgono trattamenti su larga scala relativi al monitoraggio sistematico delle persone oppure al trattamento di particolari categorie di dati. Il soggetto obbligato è tenuto a redigere l atto di nomina del responsabile della protezione dei dati corredato dalle relative clausole contrattuali. Ove la nomina di un responsabile della protezione dei dati non sia obbligatoria, potrebbe essere utile ad ogni modo procedere con tale designazione su base volontaria. Fra i compiti del responsabile della protezione dei dati rientrano la sensibilizzazione e la formazione del personale, nonché la sorveglianza sullo svolgimento della valutazione di impatto dei rischi. Tutti i titolari del trattamento sono obbligati a garantire un livello di sicurezza adeguato al rischio del trattamento dei dati. In merito occorre evidenziare che la lista delle misure di sicurezza indicate al paragrafo 1 dell art. 32 è una lista non esaustiva, ma che rimane aperta, poiché infatti la valutazione sulle misure di sicurezza da adottare sarà rimessa caso per caso al titolare ed al responsabile a seconda di quelli che sono i rischi specificatamente individuati. Viene altresì prevista la possibilità di utilizzare specifici codici di condotta o schemi di certificazione per attestare l adeguatezza delle misure di sicurezza adottate. In caso di utilizzo di nuove tecnologie per il trattamento dei dati, considerati la natura, l oggetto, il contesto e le finalità del trattamento, se vi è un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell impatto dei trattamenti previsti sulla protezione dei dati personali. La valutazione di impatto privacy è un documento che attesta dunque precauzioni di alto livello a fronte di rischi elevati per le persone. In particolare si tratta di una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se applicabile, l interesse legittimo perseguito dal titolare del trattamento. Si fa una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, di quelli che sono i rischi per i diritti e le libertà degli interessati, considerando quelle che sono le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ed i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento. Tutti i titolari del trattamento devono redigere e fornire l informativa. Il titolare deve specificare i dati di contatto del responsabile della protezione dei dati, ove esistente; la base giuridica del trattamento; quale è il suo interesse legittimo se quest ultimo costituisce la base giuridica del trattamento; se trasferisce i dati personali in Paesi terzi; il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione; il diritto di presentare un reclamo all autorità di controllo. Se il trattamento comporta processi decisionali automatizzati, l informativa deve specificarlo ed indicare anche la logica di tali processi decisionali e le conseguenze previste per l interessato. 30 PRATICA LAVORO n. 10 del 19 maggio 2018

5 Nel caso di dati personali non raccolti direttamente presso l interessato, l informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta o al momento della comunicazione dei dati. L informativa deve avere forma concisa, trasparente, deve essere intellegibile per l interessato e facilmente accessibile, con un linguaggio chiaro e semplice. Essa è data in linea di principio per iscritto e preferibilmente in formato elettronico, anche se sono ammessi altri mezzi, così come è ammesso l utilizzo di icone, ma solo in combinazione con l informativa estesa. L informativa va fornita all interessato prima di effettuare la raccolta dei dati e in tutti i casi il titolare deve specificare la propria identità e quella dell eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati, se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati. Inoltre, ogni volta che le finalità cambiano, il regolamento impone di informarne l interessato prima di procedere al trattamento ulteriore. Perché sia lecito, il trattamento dei dati personali dovrebbe fondarsi sul consenso dell interessato o su altra base legittima prevista per legge dal Regolamento europeo. Con particolare riferimento ai dati sensibili, il consenso deve essere esplicito e ciò vale anche per il consenso a decisioni basate su trattamenti automatizzati. Esso non deve essere per forza documentato per iscritto, poiché infatti non è richiesta la forma scritta, anche se quest ultima risulta essere la modalità più idonea a configurare l inequivocabilità del consenso, considerando altresì il fatto che il titolare deve essere in grado di dimostrare che l interessato ha prestato il consenso ad un trattamento specifico. Con riferimento ai minori, il consenso è valido a partire dai 16 anni e prima di tale età bisogna raccogliere il consenso dei genitori o di chi ne fa le veci. È necessario che esso sia libero, specifico, informato e appunto inequivocabile e non è ammesso il consenso tacito o presunto; va manifestato mediante dichiarazione o azione positiva inequivocabile. Poiché il consenso può essere revocato in ogni momento, i trattamenti effettuati fino a quel momento dal titolare sulla base del consenso dato, rimarranno comunque legittimi. Sono obbligati a tenere ed aggiornare il registro del trattamento tutti i titolari o responsabili del trattamento, tranne le imprese con meno di 250 dipendenti, anche se ne hanno l obbligo pure le imprese e le organizzazioni sotto i 250 dipendenti se il trattamento da esse effettuato possa presentare un rischio per i diritti e le libertà dell interessato, il trattamento non sia occasionale o includa il trattamento di particolari categorie di dati oppure ancora i dati personali relativi a condanne penali e a reati. Il registro è uno strumento fondamentale soprattutto al fine di poter disporre di un quadro aggiornato dei trattamenti in essere all interno di una azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Esso deve avere forma scritta, anche elettronica e deve essere esibito su richiesta del Garante. Vista la sua importanza è ad ogni modo consigliabile che tutti i titolari di trattamento ed i responsabili ne redigano uno, a prescindere dalle dimensioni dell organizzazione anche al fine di compiere una accurata ricognizione dei trattamenti svolti. L art. 30 fissa i contenuti del registro, ma nulla impedisce al titolare di inserire ulteriori informazioni se lo ritiene opportuno. Dal 25 Maggio 2018, tutti i titolari dovranno notificare all Autorità di controllo le violazioni di dati personali (data breach) di cui vengano a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo, però solo nel caso in cui ritengano che da tale violazione possano derivare rischi per i diritti e le libertà degli interessati. Dunque, la notifica all Autorità dell avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati, che spetta al titolare. I contenuti della notifica all Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del Regolamento. PRATICA LAVORO n. 10 del 19 maggio

6 SOGGETTI " È titolare del trattamento la persona fisica o giuridica, l autorità pubblica o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Si tratta, dunque, di un ruolo di primaria importanza all interno della nuova normativa europea, in quanto si ha una forte responsabilizzazione di questa figura (c.d. accountability ), poiché questa decide autonomamente le modalità del trattamento dei dati personali, nel rispetto sempre delle disposizioni normative e dei criteri espressamente indicati nel Regolamento, rappresentando ciò una grandissima novità. Si parla di contitolari del trattamento, quando due o più titolari del trattamento determinano in maniera congiunta le finalità ed i mezzi del trattamento. L interessato è la persona fisica cui si riferiscono i dati personali. PRECONDIZIONI " La nuova normativa sulla privacy si applica lì dove all interno di un contesto si ponga in essere la necessità di difendere le libertà ed i diritti fondamentali delle persone fisiche, con particolare riguardo alla protezione e al trattamento dei loro dati personali. FLUSSO DI LAVORO " Con la nuova normativa sulla privacy, il titolare deve assolvere vari adempimenti. I più rilevanti sono: effettuare una valutazione della situazione attuale sulla privacy all interno del contesto di riferimento in cui opera, mediante una attenta analisi dell esistente (come viene gestito il trattamento dei dati, quali misure di sicurezza sono adottate, etc.); definire in modo preciso e specifico, in caso di contitolarità, mediante un atto giuridicamente valido ai sensi del diritto nazionale (accordo di contitolarità), il rispettivo ambito di responsabilità ed i compiti riguardo l esercizio dei diritti degli interessati; scegliere i comportamenti proattivi da adottare, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l applicazione del Regolamento, in virtù del principio della responsabilizzazione del titolare (c.d. accountability ), in base al quale il titolare sceglie appunto autonomamente le modalità del trattamento dei dati personali, nel rispetto dei criteri indicati nel Regolamento ( data protection by default and by design ); rispondere all interessato che faccia eventuali richieste in merito ai diritti che gli competono e procedere con l adozione di misure tecniche ed organizzative che risultino idonee nell agevolare il soggetto interessato nell esercizio dei diritti che gli spettano; procedere alla nomina di un responsabile della protezione dei dati che sia in grado di sensibilizzare il personale, nonché di formarlo e di sorvegliare sulla valutazione di impatto dei rischi, ma solo in caso si tratti di: enti pubblici; titolari che svolgono trattamenti su larga scala relativi al monitoraggio sistematico di persone; titolari che svolgono trattamenti di particolari categorie di dati. Qualora però la nomina di un responsabile della protezione dei dati non sia obbligatoria, potrebbe comunque risultare utile procedere con la nomina di questi su base volontaria; predisporre e mettere in atto misure di sicurezza che devono essere ritenute dal titolare adeguate a far fronte al c.d. rischio del trattamento anche mediante l adesione a specifici codici di condotta o a schemi di certificazione; in caso di trattamenti che necessitino dell utilizzo di nuove tecnologie e la cui finalità presenti un rischio piuttosto elevato per i diritti e le libertà delle persone fisiche, procedere con una valutazione dell impatto dei trattamenti previsti sulla protezione dei dati personali. Ciò consiste in un documento che attesta precauzioni di alto livello a fronte di rischi elevati per le persone; valutata la situazione attuale, scelte le misure da adottare tenendo conto dei criteri indicati dalla normativa, prima di procedere con la raccolta dei dati, il titolare deve fornire all interessato l informativa, la quale deve essere redatta con un linguaggio semplice e 32 PRATICA LAVORO n. 10 del 19 maggio 2018

7 chiaro, tale che il suo contenuto sia trasparente e intellegibile per l interessato. Essa viene infatti data, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi altri mezzi; raccogliere il consenso da parte dell interessato al trattamento dei dati; consenso che deve essere libero, specifico e manifestato mediante dichiarazione o azione positiva inequivocabile. In caso di minori, il consenso è valido a partire dai 16 anni, quindi prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci; tenere il registro del trattamento dei dati, a meno che non si tratti di imprese con meno di 250 dipendenti: giova precisare, però, che ne hanno l obbligo anche le imprese ed organizzazioni sotto i 250 dipendenti se il trattamento da esse effettuato possa comportare dei rischi per i diritti e le libertà dell interessato; se il trattamento non sia occasionale o includa il trattamento di particolari categorie di dati oppure ancora includa dati personali relativi a condanne penali e a reati; notificare all autorità di controllo, eventuali violazioni di dati personali di cui lo stesso titolare venga a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo, se è probabile che dalla violazione derivino rischi per i diritti e le libertà degli interessati. Se la probabilità di tale rischio è elevata, occorre informare della violazione anche gli interessati, sempre senza ingiustificato ritardo. TERMINI E SCADENZE " Il Regolamento europeo 2016/679 sulla nuova privacy si applica a decorrere dal 25 Maggio 2018, come da esplicita previsione dell art. 99 dello stesso. La Direttiva n. 95/46/CE, recepita con l attuale Codice della privacy (D.Lgs. n. 196/2003) viene espressamente abrogata dal Regolamento 2016/679 (v. art. 94 del Regolamento). Il Regolamento 2016/679 è applicabile immediatamente ed è direttamente vincolante in ogni sua parte per gli Stati Membri dell U.E.; non è necessario alcun recepimento da parte della normativa interna per la sua efficacia. SANZIONI " Ogni Stato ha la sua Autorità di controllo: per l Italia è il Garante per la protezione dei dati personali. Il Regolamento europeo disciplina il sistema sanzionatorio amministrativo. Le sanzioni pecuniarie sono elevate, anche se vi è la possibilità che vengano adeguate ai casi concreti. Infatti il Garante in alcuni casi, potrà scegliere tra la prescrizione e la sanzione, valutando alcuni criteri come ad esempio la proporzionalità tra la sanzione e la violazione commessa, oppure ancora le dimensioni del soggetto trasgressore. Le sanzioni sono divise in due gruppi: il 1º gruppo arriva fino a 10 milioni di euro oal2% del fatturato dell impresa: si tratta di violazioni che riguardano gli obblighi del titolare, del responsabile, dell organismo di certificazione e dell organismo di controllo (es. in merito alla tenuta del registro dei trattamenti, alla valutazione dei rischi, al documento di valutazione di impatto privacy, alle procedure di data breach, etc.); il 2º gruppo arriva fino a 20 milioni di euro oal4% del fatturato dell impresa: si tratta di violazioni che riguardano i diritti degli interessati e le condizioni del trattamento (es. in merito alle condizioni di liceità del trattamento, alla disciplina del consenso, al diritto di trasparenza, all informativa etc.). Tra i suoi poteri correttivi il Garante può: rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possano verosimilmente violare le disposizioni del Regolamento; PRATICA LAVORO n. 10 del 19 maggio

8 rivolgere ammonimenti al titolare o al responsabile del trattamento se i trattamenti abbiano violato le disposizioni del Regolamento. Il Garante può infliggere una sanzione amministrativa pecuniaria, in aggiunta alle misure di ammonimento, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso. Può accadere che alla prima violazione il titolare riceva soltanto un ammonimento da parte del Garante, senza che si veda applicare la sanzione pecuniaria. Se invece si procede con l applicazione di una sanzione, il Garante dovrà tenere registri interni delle violazioni del regolamento e delle misure adottate. Principio è che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento e il titolare del trattamento risponde per il danno cagionato dal suo trattamento; il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento specificatamente a lui diretti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. L onere della prova è a carico del presunto autore della violazione, ma ad ogni modo il titolare del trattamento è esonerato dalla responsabilità se dimostra che l evento dannoso non gli è in alcun modo imputabile. La responsabilità civile di titolare e responsabile del trattamento è solidale, salvo rivalsa nei limiti della quota di responsabilità: rispondono ciascuno per l intero ammontare del danno, al fine di garantire il risarcimento effettivo dell interessato. 34 PRATICA LAVORO n. 10 del 19 maggio 2018