I poteri del Garante e le Ispezioni Milano, 23 maggio 2019 Dott. Giuseppe Giuliano
Poteri (art. 58) ISPETTIVI Richiedere informazioni Condurre indagini Effettuare un riesame delle certificazioni rilasciate Notificare al titolare o al responsabile del trattamento le violazioni Ottenere, dal titolare o dal responsabile del trattamento, l accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti Ottenere accesso a tutti i locali del titolare e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'unione o il diritto processuale degli Stati membri Autorità di controllo 1
L esercizio dei poteri di accesso è subordinato al rispetto delle garanzie procedurali fissate negli Stati membri; Ciò vale anche per l accesso agli strumenti e ai mezzi di trattamento dei dati; Si può ipotizzare che per tali accessi valgono le identiche condizioni, anche alla luce della giurisprudenza della CEDU (Corte EDU 5/9/2017) che ha sostanzialmente parificato i mezzi di trattamento e i dispositivi informatici che contengono informazioni personali a estensione della sfera personale dell individuo e quindi soggette alla stessa tutela che valgono per la privata dimora.
L accesso dell Autorità di controllo non conosce limiti: «tutti» i dati personali, i locali e i mezzi di trattamento, nonché «tutte» le informazioni necessarie all Autorità; La mancata osservanza di tali disposizioni (quindi anche solo un accesso parziale in assenza di idonee giustificazioni) è qualificata (ai sensi dell art. 83,l par. 5, lett. e) come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo;
Non solo vi è una sanzione pecuniaria, ma il legislatore italiano ha previsto anche una fattispecie penale (ai sensi dell art. 168, comma 2, del Codice, così come modificato dal d.lgs. 101/2018) ovvero «è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti»;
Anche la mancata osservanza della richiesta di fornire informazioni è qualificata (ai sensi dell art. 166, comma 2, del d.lgs. 196/2003 come modificato dal d.lgs. N. 101/2018, come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo);
POTERI DI ACCERTAMENTO Distinguiamo il potere di «ingiungere» al titolare, al responsabile ovvero al rappresentante del titolare o del responsabile di fornire «ogni informazione» necessaria l esecuzione dei compiti dell Autorità; Il potere di «condurre indagini» in forma di attività di audit;
POTERI DI ACCERTAMENTO Il d.lgs. 101/2018 prevede poteri per l Autorità ancora più ampi, infatti la nuova formulazione dell art. 157 prevede che il Garante può rivolgere richieste di informazioni non solo ai soggetti di cui sopra ma anche a «terzi» ed allo stesso «interessato» Ciò trova il suo fondamento nei «poteri ulteriori» che ogni Stato membro può conferire per legge all Autorità di controllo (art. 58, par. 6 RPDP (unico limite non porre ostacolo alla circolazione dei dati nell UE)
L assistenza e la cooperazione fra le Autorità: l art. 61 stabilisce che «le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini»
L assistenza e la cooperazione fra le Autorità: L art. 62 introduce il tema delle attività congiunte stabilendo che «se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri. Le operazioni congiunte vengono effettuate sotto il coordinamento della cd. autorità di controllo capofila che, in base all art. 56, par. 1, è l autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento.
Il Dipartimento attività ispettive e sanzioni Cura lo svolgimento delle attività ispettive e di accertamenti in loco in collaborazione con i dipartimenti giuridici Presta la collaborazione richiesta all Autorità giudiziaria Cura i rapporti con le forze di polizia che cooperano con l Autorità Esegue indagini per le violazioni al d.lg n. 101/2018 costituenti reato, avvalendosi del personale cui è attribuita la qualifica di ufficiale o agente di P.G. E responsabile del procedimento relativo all applicazione delle sanzioni amministrative nei casi di negato accesso
L apparato potestativo Artt. 157 160 Del Codice privacy Poteri di Polizia Giudiziaria per le violazioni costituenti reato
Art. 157 come modificato dal D.lgs. N. 101/18 Nell ambito dei poteri di cui all art. 58 del RPDP Il Garante può richiedere Al Fornire responsabile, informazioni al titolare, al rappresentante del titolare o del responsabile, all interessato o anche a terzi di Fornire informazioni Esibire documenti anche con riferimento alle banche dati
Richiesta di informazioni: invio di una missiva con la quale si richiede al Titolare del trattamento o al Responsabile di trasmettere documenti ovvero di comunicare per iscritto notizie, dati, informazioni o altri elementi suscettibili di valutazione; La missiva può essere inviata: tramite posta certificata (PEC); tramite raccomandata
Attraverso una attività ispettiva che prevede l intervento, presso il luogo in cui si svolge il trattamento di funzionari dell Autorità, ovvero per il tramite di Ispettori della Guardia di Finanza, appositamente incaricati di acquisire informazioni e documenti (Ordine di servizio).
Art. 158 Il Garante può disporre accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento avvalendosi, ove necessario, della collaborazione di altri organi dello Stato o nei quali occorre effettuare rilevazioni utili al controllo
Art. 158 Se gli accertamenti si svolgono in un abitazione un altro luogo di privata dimora nelle relative appartenenze previa autorizzazione del presidente del tribunale competente per territorio o con l'assenso scritto ed informato del titolare o del responsabile
Art. 158 I controlli suindicati e quelli effettuati ai sensi dell art. 62 del Regolamento, sono eseguiti da personale dell Ufficio, con la partecipazione di componenti o personale di Autorità di controllo di altri Stati membri dell Unione europea
Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali.
Art. 159 Il Garante nel procedere a rilievi e operazioni può Estrarre copia di ogni atto, dato e documento Anche a campione e su supporto informatico o per via telematica Può avvalersi, ove necessario, di consulenti tecnici tenuti al segreto ai sensi dell art. 156, comma 8 Redige al termine di ogni giornata un verbale nel quale sono descritte le operazioni svolte, raccolte le dichiarazioni rese la documentazione acquisita
Art. 159 Ai soggetti viene consegnata copia dell autorizzazione del Tribunale, ove rilasciata I soggetti sono tenuti a farli eseguire ed a prestare la collaborazione In caso di rifiuto gli accertamenti sono eseguiti Il provvedimento costituisce titolo esecutivo ai sensi degli artt. 474 e 475 c.p.c. Le spese sono a carico del titolare con il provvedimento che definisce il procedimento
Struttura ed organizzazione della società/ente Distribuzione delle funzioni in materia di protezione dei dati personali Elenco dei trattamenti Elenco aggiornato dei responsabili esterni del trattamento (Regolamento - art. 28); Contitolari del trattamento (Regolamento - art. 26) Elenco aggiornato dei soggetti autorizzati ad accedere (gli incaricati del trattamento); Profilazione (abilitazioni) degli incaricati
formazione ed istruzione degli incaricati (eventuali nomine); Copia delle informative rilasciate ai sensi degli artt. 13 e 14 del Regolamento); Copia dei modelli di acquisizione del consenso ai sensi degli art. 7 e 8 del Regolamento; misure adeguate di sicurezza adottate (fino al 24 maggio misure minime di cui all allegato B del Codice)
Procedure standard in relazione ai diritti degli interessati (ex art. 7 del Codice) (Regolamento diritto di accesso (art. 15); Rettifica e cancellazione (art. 16); diritto all oblio (art. 17); limitazione del trattamento (art. 18); notifica in caso di rettifica o cancellazione (art. 19) portabilità dei dati (art. 20); opposizione (art. 21); processo decisionale automatizzato (art. 22)
Tempo di conservazione dei dati personali (obbligatoria ); Registrazione degli accessi degli utenti autorizzati (file di log); Tempi di conservazione dei file di log; Misure idonee per accedere a particolari banche dati (username e password; strong authentication; utilizzo di dato biometrico ove previsto); Modalità di accesso alle banche dati da remoto;
Soggetti autorizzati ad accedere da remoto; Audit effettuato sia internamente che presso i responsabili esterni; Eventuali alert implementati su sistemi; Eventuale backup sui dati; egistro dei Trattamenti (Regolamento art. 30) Nomina del DPO (Regolamento art. 37); Valutazione di Impatto (Regolamento art. 35)
Registro dei trattamenti (art. 30) nome e dati di contatto del titolare del trattamento; ove applicabile del contitolare del trattamento (art. 26); rappresentante del titolare del trattamento (art. 27); responsabile della protezione dei dati (art. 37); finalità del trattamento;
descrizione delle categorie di interessati; categorie di destinatari a cui i dati sono stati o saranno comunicati, compresi i destinatari dei paesi terzi od organismi internazionale; ove applicabile i trasferimenti dei dati verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e la documentazione delle garanzie adeguate (trasferimenti di cui al secondo comma dell art. 49);
termini ultimi previsti per la cancellazione delle diverse categorie di dati; descrizione delle misure di sicurezza tecniche ed organizzative (art. 32, paragrafo 1, del Regolamento);
Valutazione di impatto (art. 35) descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l interesse legittimo perseguito dal titolare del trattamento; Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; valutazione dei rischi per i diritti e le libertà degli interessati; misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali;
Misure adeguate di sicurezza (art. 35) eventuale pseudonimizzazione e cifratura dei dati personali; capacità di assicurare la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento; capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;
Art. 160 Il Garante nel procedere agli accertamenti dei dati Trattamenti di dati personali per fini di sicurezza nazionale e difesa (art. 58 del Codice come modificato dal d.lgs. N. 101/18) Partecipazione obbligatoria di un Componente del Garante Accertamenti non sono delegabili
ISPEZIONI Input Preparazione Esecuzione Segnalazioni Reclami Di iniziativa Proposta Richiesta di informazione e documenti Art. 157 Accessi Art. 158 preavviso Assenso informato (*) Ispezione e redazione del verbale Autorizazione A.G. (*) (*) Quando necessari
Delibera semestrale dell Autorità in cui vengono individuati in linea di massima i settori di interesse; Notizie Stampa e/o Notizie Televisive; Attività conoscitiva su nuove tipologie di trattamento anche a seguito di evoluzione dei sistemi informatici.
Istituti di credito Sanità sistema statistico nazionale (Sistan), Spid Telemarketing carte di fedeltà grandi banche dati pubbliche
Violazione art. 157 Sanzione fino a 20 milioni di euro o fino al 4% del volume d affari globale mondiale (art. 166, comma 2, del D.lgs. 101/2018) Violazione art. 158 Sanzione fino a 20 milioni di euro o fino al 4% del volume d affari globale mondiale (art. 83, par. 5, lettera e) del Regolamento)
La collaborazione con la G di F.
Primo Protocollo di intesa siglato nel 2005 e rinnovato nel 2016!41
Il protocollo d intesa Il protocollo prevede che la G. di F. collabori con il Garante attraverso: il reperimento di dati ed informazioni sui soggetti da controllare l assistenza nei rapporti con l Autorità Giudiziaria la partecipazione di proprio personale agli accessi alle banche dati, ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento lo sviluppo di attività delegate per l accertamento delle violazioni di natura penale
Responsabilità e sanzioni 3 Articoli 82-84
IL SISTEMA SANZIONATORIO Nel regolamento le sanzioni sono inserite nel capo VIII, all art. 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie e 84 Sanzioni. Sono previste nell art. 83, paragrafi 4 e 5, due sole sanzioni: la prima, fino a 10.000.000 di euro o fino al 2% del fatturato delle imprese, per le violazioni relative agli obblighi di titolari e responsabili, alla materia delle certificazioni, e a quella dei codici di condotta;
La seconda, fino a 20.000.000 di euro o fino al 4% del fatturato delle imprese, per la violazione dei principi di base del trattamento, dei diritti degli interessati, delle norme sui trasferimenti di dati, delle norme interne per particolari trattamenti, e per l inosservanza di ordini dell Autorità.
Altre sanzioni amministrative dello stesso tenore sono previste dall art. 166 del d. lgs. N. 101/2018
L apparato sanzionatorio amministrativo del Codice
Nuove sanzioni amministrative (art. 83) La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: 8 (Consenso dei minori) 11 (Trattamento che non richiede l identificazione) 25 (Protezione dei dati fin dalla progettazione) 26 (Contitolari del trattamento) 27 (Rappresentanti di titolari del trattamento non stabiliti nell'unione) 28 (Responsabile del trattamento) 29 (Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento) 30 (Registri delle attività di trattamento) 31 (Cooperazione con l'autorità di controllo) 32 (Sicurezza del trattamento) 33 (Notifica di una violazione dei dati personali all'autorità di controllo) 34 (Comunicazione di una violazione dei dati personali all'interessato) 35 (Valutazione d'impatto sulla protezione dei dati) 36 (Consultazione preventiva) 37 (Designazione del responsabile della protezione dei dati) 38 (Posizione del responsabile della protezione dei dati) 39 (Compiti del responsabile della protezione dei dati) 42 (Certificazione) 43 (Organismi di certificazione) b) obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; c) obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
Nuove sanzioni amministrative i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: i diritti degli interessati a norma degli articoli da 12 a 22 i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49 qualsiasi obbligo ai sensi delle legislazioni degli Stati adottate a norma del capo IX l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. Fatti salvi i poteri correttivi delle autorità a norma dell'articolo 58, paragrafo 2, ogni Stato può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative ad autorità pubbliche e organismi pubblici istituiti in tale Stato.
Applicazione della sanzione Linee Guida Il concetto di equivalenza (per tutti gli Stati membri) Le misure correttive devono essere: (articolo 83, paragrafo 1) Effettive proporzionate dissuasive Le autorità di controllo sono incoraggiate a ricorrere alle misure correttive con un approccio ponderato ed equilibrato, al fine di reagire in maniera effettiva, dissuasiva e proporzionata alla violazione.
Criteri per l'applicazione delle sanzioni amministrative pecuniarie (art. 11 l. 689/81) Gravità della violazione 1 Nella determinazione della sanzione amministrativa pecuniaria fissata dalla legge tra un limite minimo ed un limite massimo e nell'applicazione delle sanzioni accessorie facoltative, si ha riguardo alla: 4 Condizioni economiche 4 criteri Opera svolta per eliminazione o attenuazione conseguenze violazione 2 Personalità del contravventore 3
Nuovi criteri per l applicazione delle sanzioni amministrative pecuniarie Le sanzioni amministrative sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, o in luogo di tali misure, secondo i seguenti elementi: a) natura, gravità e durata della violazione, oggetto o finalità del trattamento, numero di interessati lesi dal danno e sua intensità b) carattere doloso o colposo della violazione c) misure adottate per attenuare il danno subito dagli interessati; d) grado di responsabilità tenendo conto delle misure tecniche e organizzative da essi messe in atto e) eventuali precedenti violazioni commesse f) cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne gli effetti g) categorie di dati personali interessate dalla violazione h) modo in cui l'autorità ha preso conoscenza della violazione, in particolare se è stata notificata la violazione i) rispetto di provvedimenti prescrittivi/inibitori già adottati in precedenza j) adesione a codici di condotta o a meccanismi di certificazione k) eventuali altri fattori aggravanti o attenuanti, ad es. benefici finanziari connessi alla violazione
Sanzioni penali - Le conseguenze
SANZIONI PENALI Art. 167 Illecito trattamento dei dati Comma 1 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto ovvero di arrecare un danno all interessato, operando in violazione di quanto disposto dagli art. 123, art. 126 (Dati relativi al traffico telefonico), art. 130 (Comunicazioni indesiderate) o dal provvedimento di cui all art. 129 (elenco dei contraenti elenchi pubblici) è punito con la reclusione da sei mesi ad un anno.
Art. 167 Illecito trattamento dei dati Comma 2 procedendo al trattamento dei dati di cui agli artt. 9 e 10 del Regolamento in violazione di cui agli artt. 2-sexsies (dati necessari per motivi di interesse pubblico rilevante) e 2-octies (dati relativi a condanne penali e reati) del Codice o delle misure di garanzia di cui all art. 2-septies (Misure di garanzia per i dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell art. 2-quinquiesdecies (Trattamento che presenta rischi elevati per l esecuzione di un compito di interesse pubblico) arreca nocumento all interessato, è punito con la reclusione da 1 a 3 anni
Art. 167 Illecito trattamento dei dati Comma 3 Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica, altresì, a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45 (Trattamento sulla base di una decisione di adeguatezza), 46 (Trasferimento soggetto a garanzie adeguate) o 49 (Deroghe in specifiche situazioni) del Regolamento arreca nocumento all interessato.
Art. 167 Illecito trattamento dei dati Comma 4 Il Pubblico Ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. Comma 5 Il Garante, trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell attività di accertamento, nel caso in cui emergano elementi che facciano presumere l esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell attività di accertamento delle violazioni di cui al presente decreto.
Art. 167 Illecito trattamento dei dati Comma 6 Quando per lo stesso fatto è stata applicata a norma del presente Codice o del Regolamento a carico dell imputato o dell Ente una sanzione amministrativa pecuniaria del Garante e questa è stata riscossa, la pena è diminuita.
Art. 167 bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 1 Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde, al fine di trarne per sè ovvero di arrecare un danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli artt. 2-ter (Base giuridica per il trattamento di dati personali effettuato per un compito di interesse pubblico o connesso all esercizio di pubblici poteri), 2-sexsies (Tratt. di categorie particolari di dati personali necessario per motivo di interesse pubblico rilevante) e 2-octies (Dati relativi a condanne penali e reati), è punito con la reclusione da 1 ei a 6 anni.
Art. 167 bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 2 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè ovvero di arrecare un danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a sei anni, quando il consenso dell interessato è richiesto per le operazioni di comunicazione e diffusione.
Art. 167 ter Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o altri ovvero di arrecare un danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
Art. 168 - Falsità nelle dichiarazioni al Garante e interruzione dell esecuzione dei compiti o dell esercizio dei poteri del Garante 1. Salvo che il fatto non costituisca più grave reato, chiunque in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, con la reclusione da sei mesi a tre anni. 2. Fuori dai casi di cui al comma 1, è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
Art. 170 - Inosservanza dei provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) (limitazione provvisoria o definitiva del trattamento, incluso il divieto del trattamento) del Regolamento, dell art. 2-septies, comma 1, (misure di garanzia disposte dal Garante per il trattamento dei dati genetici, biometrici e relativi alla salute, nonché i provvedimenti di cui all art. 21, comma 1, del decreto di attuazione dell art. 13 della legge 25 ottobre 2017, n. 163 (delega del Governo) è punito con la reclusione da tre mesi a due anni.