I poteri del Garante e le Ispezioni

Documenti analoghi
NUCLEO SPECIALE TUTELA PRIVACY

L ATTIVITA ISPETTIVA E SANZIONATORIA: IL RUOLO DELLA GUARDIA DI FINANZA

VERIFICHE ISPETTIVE PER LA PUBBLICA

Misure di Sicurezza Adeguate - Art. 32

La violazione della privacy e le sanzioni previste dalla normativa comunitaria

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

Realizzazione. Certifico S.r.l.

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

Indice sommario. Indice sommario

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

regolamento UE 679/16

GDPR: Adempimenti e sanzioni. Valentina Amenta

Violazioni in materia di protezione dei dati personali - Sanzioni e definizione agevolata

La Responsabilità della Privacy

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

Cosa fare nel caso in cui i dati personali vengano violati? (c.d. «Data Breach»)

Sguang informatica srl

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

STUDIO ADRIANI. Dottori Commercialisti Associati ADRIANA ADRIANI & DAMIANO ADRIANI. CIRCOLARE STUDIO ADRIANI n. 74/2018

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Informativa sul trattamento dei dati personali

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Academy. Costo del corso: 4000,00 euro + IVA (sono previsti sconti o borse di studio per particolari situazioni meritevoli) Parte Generale

GDPR: il nuovo regolamento Privacy

Modifiche al Codice della Privacy

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

Seminario sul suo recepimento in ISS

INFORMATIVA NEI CONFRONTI DI PERSONE FISICHE AI SENSI DELL ART

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Qualsiasi informazione riguardante una persona fisica identificata identificabile («interessato»);

BIANCA MARIA BARON & VALERIA ANDRETTA

Segreto Professionale

Informativa sul trattamento dei dati personali

Cos è il GDPR? General Data Protection Regulation

DISPOSIZIONI OPERATIVE IN MATERIA DI INCIDENTI DI SICUREZZA E DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

STANDARD PER LA GESTIONE DEI RAPPORTI TRA TIROLARE E RESPONSABILE DEL TRATTAMENTO - VERSIONE 1.0

Informativa sul trattamento dei dati personali

Ordine dei Dottori Commercialisti ed Esperti Contabili di. LINEE GUIDA IN MATERIA DI PRIVACY E PROTEZIONE DEI DATI PERSONALI Maggio 2018

Convegno Annuale AISIS

Informativa sul trattamento dei dati personali

La normativa Europea sulla privacy

Informativa sul trattamento dei dati personali

Tabella delle concordanze: avamprogetto LPD/ riforma del Consiglio d Europa / riforma dell Unione europea

DICHIARA. ai sensi degli artt del D.P.R. 28 dicembre 2000 n di essere nato/a il 1 a (Prov. ) codice fiscale

Informativa sul trattamento dei dati personali

Requisiti legale rappresentante/socio amministratore impresa 1 DICHIARA

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Informativa sul trattamento dei dati personali

LA NUOVA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Informazioni relative al trattamento dei dati personali dei clienti

Privacy e illeciti penali STUDIO LEGALE BRIOLA 1

Regolamento UE 2016/679 in materia di protezione dei dati personali

principali adempimenti

Accettazione incarico di insegnante di teoria e/o istruttore di guida DICHIARA

Informativa sul trattamento dei dati personali

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

ORGANIZZAZIONE, ADEMPIMENTI E ATTORI DEL NUOVO REGOLAMENTO. Michela Massimi

FAQ - PRIVACY (Regolamento Europeo 679/ in vigore dal 25 maggio 2018)

Sara Landini - Ordinario Università di Firenze

11/02/2010 Garante Privacy

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Informativa sul trattamento dei dati personali

NORMATIVA COMUNITARIA E

DOMANDA DI CERTIFICAZIONE SOSTITUTIVA DELL ATTESTATO DI QUALIFICA PROFESSIONALE

IL NUOVO REGOLAMENTO PRIVACY

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

Il Regolamento Europeo sulla protezione dei dati. Regolamento Ue 679/2016

1. Finalità e base giuridica del trattamento

10026 SANTENA (TO) Tel Informativa sul trattamento dei dati personali

Informativa Breve al trattamento dei dati personali e consenso. (Art 13 e 14 GDPR 2016/679)

Diritti dell interessato.

Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali

Giugno Carnelutti Studio Legale Associato

D.LGS. 10/08/2018, n DISPOSIZIONI PER L'ADEGUAMENTO DELLA NORMATIVA NAZIONALE ALLE DISPOSIZIONI DEL REGOLAMENTO (UE) 2016/679 LORO SEDI

IMPLEMENTAZIONE DEL REGISTRO. Massimo Ippoliti Consiglio Nazionale delle Ricerche

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

Nome modulo: ILLUSTRAZIONE DETTAGLIATA DEI COMPITI E DELLE RESPONSABILITÀ CIVILI E PENALI

Introduzione... CAPITOLO 2 IL DATO SANITARIO 1. Premessa Natura giuridica e trattamento: cenni... 16

Informativa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali (GDPR) - Clienti -

Informativa ai sensi dell art.13 del Regolamento UE del 27 aprile 2016 n. 679

Tribunale di Bologna

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

DOMANDA DI AUTORIZZAZIONE COMMERCIO AL DETTAGLIO SU AREE PUBBLICHE IN FORMA ITINERANTE

Privacy - Senato: la Commissione speciale per gli atti urgenti esaminerà lo schema di decreto legislativo per l adeguamento al GDPR

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

Informativa sul trattamento dei dati personali

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

Circolare n. 78 del 30 Maggio 2018

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR REG. UE 2016/679)

SISTEMA PRIVACY E PROTEZIONE DEI DATI

Transcript:

I poteri del Garante e le Ispezioni Milano, 23 maggio 2019 Dott. Giuseppe Giuliano

Poteri (art. 58) ISPETTIVI Richiedere informazioni Condurre indagini Effettuare un riesame delle certificazioni rilasciate Notificare al titolare o al responsabile del trattamento le violazioni Ottenere, dal titolare o dal responsabile del trattamento, l accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti Ottenere accesso a tutti i locali del titolare e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'unione o il diritto processuale degli Stati membri Autorità di controllo 1

L esercizio dei poteri di accesso è subordinato al rispetto delle garanzie procedurali fissate negli Stati membri; Ciò vale anche per l accesso agli strumenti e ai mezzi di trattamento dei dati; Si può ipotizzare che per tali accessi valgono le identiche condizioni, anche alla luce della giurisprudenza della CEDU (Corte EDU 5/9/2017) che ha sostanzialmente parificato i mezzi di trattamento e i dispositivi informatici che contengono informazioni personali a estensione della sfera personale dell individuo e quindi soggette alla stessa tutela che valgono per la privata dimora.

L accesso dell Autorità di controllo non conosce limiti: «tutti» i dati personali, i locali e i mezzi di trattamento, nonché «tutte» le informazioni necessarie all Autorità; La mancata osservanza di tali disposizioni (quindi anche solo un accesso parziale in assenza di idonee giustificazioni) è qualificata (ai sensi dell art. 83,l par. 5, lett. e) come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo;

Non solo vi è una sanzione pecuniaria, ma il legislatore italiano ha previsto anche una fattispecie penale (ai sensi dell art. 168, comma 2, del Codice, così come modificato dal d.lgs. 101/2018) ovvero «è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti»;

Anche la mancata osservanza della richiesta di fornire informazioni è qualificata (ai sensi dell art. 166, comma 2, del d.lgs. 196/2003 come modificato dal d.lgs. N. 101/2018, come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo);

POTERI DI ACCERTAMENTO Distinguiamo il potere di «ingiungere» al titolare, al responsabile ovvero al rappresentante del titolare o del responsabile di fornire «ogni informazione» necessaria l esecuzione dei compiti dell Autorità; Il potere di «condurre indagini» in forma di attività di audit;

POTERI DI ACCERTAMENTO Il d.lgs. 101/2018 prevede poteri per l Autorità ancora più ampi, infatti la nuova formulazione dell art. 157 prevede che il Garante può rivolgere richieste di informazioni non solo ai soggetti di cui sopra ma anche a «terzi» ed allo stesso «interessato» Ciò trova il suo fondamento nei «poteri ulteriori» che ogni Stato membro può conferire per legge all Autorità di controllo (art. 58, par. 6 RPDP (unico limite non porre ostacolo alla circolazione dei dati nell UE)

L assistenza e la cooperazione fra le Autorità: l art. 61 stabilisce che «le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini»

L assistenza e la cooperazione fra le Autorità: L art. 62 introduce il tema delle attività congiunte stabilendo che «se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri. Le operazioni congiunte vengono effettuate sotto il coordinamento della cd. autorità di controllo capofila che, in base all art. 56, par. 1, è l autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento.

Il Dipartimento attività ispettive e sanzioni Cura lo svolgimento delle attività ispettive e di accertamenti in loco in collaborazione con i dipartimenti giuridici Presta la collaborazione richiesta all Autorità giudiziaria Cura i rapporti con le forze di polizia che cooperano con l Autorità Esegue indagini per le violazioni al d.lg n. 101/2018 costituenti reato, avvalendosi del personale cui è attribuita la qualifica di ufficiale o agente di P.G. E responsabile del procedimento relativo all applicazione delle sanzioni amministrative nei casi di negato accesso

L apparato potestativo Artt. 157 160 Del Codice privacy Poteri di Polizia Giudiziaria per le violazioni costituenti reato

Art. 157 come modificato dal D.lgs. N. 101/18 Nell ambito dei poteri di cui all art. 58 del RPDP Il Garante può richiedere Al Fornire responsabile, informazioni al titolare, al rappresentante del titolare o del responsabile, all interessato o anche a terzi di Fornire informazioni Esibire documenti anche con riferimento alle banche dati

Richiesta di informazioni: invio di una missiva con la quale si richiede al Titolare del trattamento o al Responsabile di trasmettere documenti ovvero di comunicare per iscritto notizie, dati, informazioni o altri elementi suscettibili di valutazione; La missiva può essere inviata: tramite posta certificata (PEC); tramite raccomandata

Attraverso una attività ispettiva che prevede l intervento, presso il luogo in cui si svolge il trattamento di funzionari dell Autorità, ovvero per il tramite di Ispettori della Guardia di Finanza, appositamente incaricati di acquisire informazioni e documenti (Ordine di servizio).

Art. 158 Il Garante può disporre accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento avvalendosi, ove necessario, della collaborazione di altri organi dello Stato o nei quali occorre effettuare rilevazioni utili al controllo

Art. 158 Se gli accertamenti si svolgono in un abitazione un altro luogo di privata dimora nelle relative appartenenze previa autorizzazione del presidente del tribunale competente per territorio o con l'assenso scritto ed informato del titolare o del responsabile

Art. 158 I controlli suindicati e quelli effettuati ai sensi dell art. 62 del Regolamento, sono eseguiti da personale dell Ufficio, con la partecipazione di componenti o personale di Autorità di controllo di altri Stati membri dell Unione europea

Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali.

Art. 159 Il Garante nel procedere a rilievi e operazioni può Estrarre copia di ogni atto, dato e documento Anche a campione e su supporto informatico o per via telematica Può avvalersi, ove necessario, di consulenti tecnici tenuti al segreto ai sensi dell art. 156, comma 8 Redige al termine di ogni giornata un verbale nel quale sono descritte le operazioni svolte, raccolte le dichiarazioni rese la documentazione acquisita

Art. 159 Ai soggetti viene consegnata copia dell autorizzazione del Tribunale, ove rilasciata I soggetti sono tenuti a farli eseguire ed a prestare la collaborazione In caso di rifiuto gli accertamenti sono eseguiti Il provvedimento costituisce titolo esecutivo ai sensi degli artt. 474 e 475 c.p.c. Le spese sono a carico del titolare con il provvedimento che definisce il procedimento

Struttura ed organizzazione della società/ente Distribuzione delle funzioni in materia di protezione dei dati personali Elenco dei trattamenti Elenco aggiornato dei responsabili esterni del trattamento (Regolamento - art. 28); Contitolari del trattamento (Regolamento - art. 26) Elenco aggiornato dei soggetti autorizzati ad accedere (gli incaricati del trattamento); Profilazione (abilitazioni) degli incaricati

formazione ed istruzione degli incaricati (eventuali nomine); Copia delle informative rilasciate ai sensi degli artt. 13 e 14 del Regolamento); Copia dei modelli di acquisizione del consenso ai sensi degli art. 7 e 8 del Regolamento; misure adeguate di sicurezza adottate (fino al 24 maggio misure minime di cui all allegato B del Codice)

Procedure standard in relazione ai diritti degli interessati (ex art. 7 del Codice) (Regolamento diritto di accesso (art. 15); Rettifica e cancellazione (art. 16); diritto all oblio (art. 17); limitazione del trattamento (art. 18); notifica in caso di rettifica o cancellazione (art. 19) portabilità dei dati (art. 20); opposizione (art. 21); processo decisionale automatizzato (art. 22)

Tempo di conservazione dei dati personali (obbligatoria ); Registrazione degli accessi degli utenti autorizzati (file di log); Tempi di conservazione dei file di log; Misure idonee per accedere a particolari banche dati (username e password; strong authentication; utilizzo di dato biometrico ove previsto); Modalità di accesso alle banche dati da remoto;

Soggetti autorizzati ad accedere da remoto; Audit effettuato sia internamente che presso i responsabili esterni; Eventuali alert implementati su sistemi; Eventuale backup sui dati; egistro dei Trattamenti (Regolamento art. 30) Nomina del DPO (Regolamento art. 37); Valutazione di Impatto (Regolamento art. 35)

Registro dei trattamenti (art. 30) nome e dati di contatto del titolare del trattamento; ove applicabile del contitolare del trattamento (art. 26); rappresentante del titolare del trattamento (art. 27); responsabile della protezione dei dati (art. 37); finalità del trattamento;

descrizione delle categorie di interessati; categorie di destinatari a cui i dati sono stati o saranno comunicati, compresi i destinatari dei paesi terzi od organismi internazionale; ove applicabile i trasferimenti dei dati verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e la documentazione delle garanzie adeguate (trasferimenti di cui al secondo comma dell art. 49);

termini ultimi previsti per la cancellazione delle diverse categorie di dati; descrizione delle misure di sicurezza tecniche ed organizzative (art. 32, paragrafo 1, del Regolamento);

Valutazione di impatto (art. 35) descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l interesse legittimo perseguito dal titolare del trattamento; Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; valutazione dei rischi per i diritti e le libertà degli interessati; misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali;

Misure adeguate di sicurezza (art. 35) eventuale pseudonimizzazione e cifratura dei dati personali; capacità di assicurare la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento; capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;

Art. 160 Il Garante nel procedere agli accertamenti dei dati Trattamenti di dati personali per fini di sicurezza nazionale e difesa (art. 58 del Codice come modificato dal d.lgs. N. 101/18) Partecipazione obbligatoria di un Componente del Garante Accertamenti non sono delegabili

ISPEZIONI Input Preparazione Esecuzione Segnalazioni Reclami Di iniziativa Proposta Richiesta di informazione e documenti Art. 157 Accessi Art. 158 preavviso Assenso informato (*) Ispezione e redazione del verbale Autorizazione A.G. (*) (*) Quando necessari

Delibera semestrale dell Autorità in cui vengono individuati in linea di massima i settori di interesse; Notizie Stampa e/o Notizie Televisive; Attività conoscitiva su nuove tipologie di trattamento anche a seguito di evoluzione dei sistemi informatici.

Istituti di credito Sanità sistema statistico nazionale (Sistan), Spid Telemarketing carte di fedeltà grandi banche dati pubbliche

Violazione art. 157 Sanzione fino a 20 milioni di euro o fino al 4% del volume d affari globale mondiale (art. 166, comma 2, del D.lgs. 101/2018) Violazione art. 158 Sanzione fino a 20 milioni di euro o fino al 4% del volume d affari globale mondiale (art. 83, par. 5, lettera e) del Regolamento)

La collaborazione con la G di F.

Primo Protocollo di intesa siglato nel 2005 e rinnovato nel 2016!41

Il protocollo d intesa Il protocollo prevede che la G. di F. collabori con il Garante attraverso: il reperimento di dati ed informazioni sui soggetti da controllare l assistenza nei rapporti con l Autorità Giudiziaria la partecipazione di proprio personale agli accessi alle banche dati, ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento lo sviluppo di attività delegate per l accertamento delle violazioni di natura penale

Responsabilità e sanzioni 3 Articoli 82-84

IL SISTEMA SANZIONATORIO Nel regolamento le sanzioni sono inserite nel capo VIII, all art. 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie e 84 Sanzioni. Sono previste nell art. 83, paragrafi 4 e 5, due sole sanzioni: la prima, fino a 10.000.000 di euro o fino al 2% del fatturato delle imprese, per le violazioni relative agli obblighi di titolari e responsabili, alla materia delle certificazioni, e a quella dei codici di condotta;

La seconda, fino a 20.000.000 di euro o fino al 4% del fatturato delle imprese, per la violazione dei principi di base del trattamento, dei diritti degli interessati, delle norme sui trasferimenti di dati, delle norme interne per particolari trattamenti, e per l inosservanza di ordini dell Autorità.

Altre sanzioni amministrative dello stesso tenore sono previste dall art. 166 del d. lgs. N. 101/2018

L apparato sanzionatorio amministrativo del Codice

Nuove sanzioni amministrative (art. 83) La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: 8 (Consenso dei minori) 11 (Trattamento che non richiede l identificazione) 25 (Protezione dei dati fin dalla progettazione) 26 (Contitolari del trattamento) 27 (Rappresentanti di titolari del trattamento non stabiliti nell'unione) 28 (Responsabile del trattamento) 29 (Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento) 30 (Registri delle attività di trattamento) 31 (Cooperazione con l'autorità di controllo) 32 (Sicurezza del trattamento) 33 (Notifica di una violazione dei dati personali all'autorità di controllo) 34 (Comunicazione di una violazione dei dati personali all'interessato) 35 (Valutazione d'impatto sulla protezione dei dati) 36 (Consultazione preventiva) 37 (Designazione del responsabile della protezione dei dati) 38 (Posizione del responsabile della protezione dei dati) 39 (Compiti del responsabile della protezione dei dati) 42 (Certificazione) 43 (Organismi di certificazione) b) obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; c) obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;

Nuove sanzioni amministrative i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: i diritti degli interessati a norma degli articoli da 12 a 22 i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49 qualsiasi obbligo ai sensi delle legislazioni degli Stati adottate a norma del capo IX l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. Fatti salvi i poteri correttivi delle autorità a norma dell'articolo 58, paragrafo 2, ogni Stato può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative ad autorità pubbliche e organismi pubblici istituiti in tale Stato.

Applicazione della sanzione Linee Guida Il concetto di equivalenza (per tutti gli Stati membri) Le misure correttive devono essere: (articolo 83, paragrafo 1) Effettive proporzionate dissuasive Le autorità di controllo sono incoraggiate a ricorrere alle misure correttive con un approccio ponderato ed equilibrato, al fine di reagire in maniera effettiva, dissuasiva e proporzionata alla violazione.

Criteri per l'applicazione delle sanzioni amministrative pecuniarie (art. 11 l. 689/81) Gravità della violazione 1 Nella determinazione della sanzione amministrativa pecuniaria fissata dalla legge tra un limite minimo ed un limite massimo e nell'applicazione delle sanzioni accessorie facoltative, si ha riguardo alla: 4 Condizioni economiche 4 criteri Opera svolta per eliminazione o attenuazione conseguenze violazione 2 Personalità del contravventore 3

Nuovi criteri per l applicazione delle sanzioni amministrative pecuniarie Le sanzioni amministrative sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, o in luogo di tali misure, secondo i seguenti elementi: a) natura, gravità e durata della violazione, oggetto o finalità del trattamento, numero di interessati lesi dal danno e sua intensità b) carattere doloso o colposo della violazione c) misure adottate per attenuare il danno subito dagli interessati; d) grado di responsabilità tenendo conto delle misure tecniche e organizzative da essi messe in atto e) eventuali precedenti violazioni commesse f) cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne gli effetti g) categorie di dati personali interessate dalla violazione h) modo in cui l'autorità ha preso conoscenza della violazione, in particolare se è stata notificata la violazione i) rispetto di provvedimenti prescrittivi/inibitori già adottati in precedenza j) adesione a codici di condotta o a meccanismi di certificazione k) eventuali altri fattori aggravanti o attenuanti, ad es. benefici finanziari connessi alla violazione

Sanzioni penali - Le conseguenze

SANZIONI PENALI Art. 167 Illecito trattamento dei dati Comma 1 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto ovvero di arrecare un danno all interessato, operando in violazione di quanto disposto dagli art. 123, art. 126 (Dati relativi al traffico telefonico), art. 130 (Comunicazioni indesiderate) o dal provvedimento di cui all art. 129 (elenco dei contraenti elenchi pubblici) è punito con la reclusione da sei mesi ad un anno.

Art. 167 Illecito trattamento dei dati Comma 2 procedendo al trattamento dei dati di cui agli artt. 9 e 10 del Regolamento in violazione di cui agli artt. 2-sexsies (dati necessari per motivi di interesse pubblico rilevante) e 2-octies (dati relativi a condanne penali e reati) del Codice o delle misure di garanzia di cui all art. 2-septies (Misure di garanzia per i dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell art. 2-quinquiesdecies (Trattamento che presenta rischi elevati per l esecuzione di un compito di interesse pubblico) arreca nocumento all interessato, è punito con la reclusione da 1 a 3 anni

Art. 167 Illecito trattamento dei dati Comma 3 Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica, altresì, a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45 (Trattamento sulla base di una decisione di adeguatezza), 46 (Trasferimento soggetto a garanzie adeguate) o 49 (Deroghe in specifiche situazioni) del Regolamento arreca nocumento all interessato.

Art. 167 Illecito trattamento dei dati Comma 4 Il Pubblico Ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. Comma 5 Il Garante, trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell attività di accertamento, nel caso in cui emergano elementi che facciano presumere l esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell attività di accertamento delle violazioni di cui al presente decreto.

Art. 167 Illecito trattamento dei dati Comma 6 Quando per lo stesso fatto è stata applicata a norma del presente Codice o del Regolamento a carico dell imputato o dell Ente una sanzione amministrativa pecuniaria del Garante e questa è stata riscossa, la pena è diminuita.

Art. 167 bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 1 Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde, al fine di trarne per sè ovvero di arrecare un danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli artt. 2-ter (Base giuridica per il trattamento di dati personali effettuato per un compito di interesse pubblico o connesso all esercizio di pubblici poteri), 2-sexsies (Tratt. di categorie particolari di dati personali necessario per motivo di interesse pubblico rilevante) e 2-octies (Dati relativi a condanne penali e reati), è punito con la reclusione da 1 ei a 6 anni.

Art. 167 bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 2 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè ovvero di arrecare un danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a sei anni, quando il consenso dell interessato è richiesto per le operazioni di comunicazione e diffusione.

Art. 167 ter Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o altri ovvero di arrecare un danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.

Art. 168 - Falsità nelle dichiarazioni al Garante e interruzione dell esecuzione dei compiti o dell esercizio dei poteri del Garante 1. Salvo che il fatto non costituisca più grave reato, chiunque in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, con la reclusione da sei mesi a tre anni. 2. Fuori dai casi di cui al comma 1, è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

Art. 170 - Inosservanza dei provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) (limitazione provvisoria o definitiva del trattamento, incluso il divieto del trattamento) del Regolamento, dell art. 2-septies, comma 1, (misure di garanzia disposte dal Garante per il trattamento dei dati genetici, biometrici e relativi alla salute, nonché i provvedimenti di cui all art. 21, comma 1, del decreto di attuazione dell art. 13 della legge 25 ottobre 2017, n. 163 (delega del Governo) è punito con la reclusione da tre mesi a due anni.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back