Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali

Documenti analoghi
NUCLEO SPECIALE TUTELA PRIVACY

VERIFICHE ISPETTIVE PER LA PUBBLICA

Realizzazione. Certifico S.r.l.

GDPR: Adempimenti e sanzioni. Valentina Amenta

Sara Landini - Ordinario Università di Firenze

Convegno Annuale AISIS

L ATTIVITA ISPETTIVA E SANZIONATORIA: IL RUOLO DELLA GUARDIA DI FINANZA

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

La violazione della privacy e le sanzioni previste dalla normativa comunitaria

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Programma. in collaborazione con

Policy sulla conservazione dei Dati Personali

regolamento UE 679/16

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

Cosa fare nel caso in cui i dati personali vengano violati? (c.d. «Data Breach»)

Mondi diversi e Sistemi Privacy univoci

REG. EU 2016/679 1) Impatto normativo 2) Come fare per mettersi in regola 3) Sanzioni. A cura dello Studio Legale Faccin Santolin

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

Sguang informatica srl

STANDARD PER LA GESTIONE DEI RAPPORTI TRA TIROLARE E RESPONSABILE DEL TRATTAMENTO - VERSIONE 1.0

IMPLEMENTAZIONE DEL REGISTRO. Massimo Ippoliti Consiglio Nazionale delle Ricerche

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

I poteri del Garante e le Ispezioni

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici Il Garante incontra l Università

LE NOVITÀ DEL GDPR E GLI IMPATTI PER LE AZIENDE

Delibera del Garante Privacy e DPIA

A cura dell Avv. Federica Spuri Nisi

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Giugno Carnelutti Studio Legale Associato

Sezione Trattamento Dati

Ciclo di incontro formativi Lezioni di aggiornamento anno 2019

INFORMATIVA AI SENSI E PER GLI EFFETTI DEL REGOLAMENTO (UE) N. 679 DEL 27 APRILE 2016 ( REGOLAMENTO )

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

OBBLIGHI E SANZIONI DEL GDPR: COSA FARE ENTRO IL 25 MAGGIO 2018 E DOPO

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

CITTA DI BIELLA PROVINCIA DI BIELLA MEDAGLIA D ORO AL VALOR MILITARE

General Data Protection Regulation UE 2016/679

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

(UE) 2016/ (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI)

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

CONTRATTO DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

istituendo per tempo un assetto programmatico e giuridico per l'economia dei dati

Informativa sul trattamento e la protezione dei dati personali

Tabella delle concordanze: avamprogetto LPD/ riforma del Consiglio d Europa / riforma dell Unione europea

Multidisciplinarietà, forte integrazione delle competenze, specializzazione.

Necessità di un approccio sistemico

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Politica sulla tutela della privacy

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

PRIVACY: il punto sulle novità introdotte dal regolamento europeo EU/2016/679

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ai sensi e per gli effetti di cui all art , Reg UE 2016/679

DOCUMENTO IN CONSULTAZIONE

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

e-privacy XX 2016 Gli ecosistemi delle professioni legali tra privacy e big data nelle normative italiana e europea

Dettagli completi su ciascuna tipologia di dati raccolti sono forniti di seguito

IL NUOVO REGOLAMENTO PRIVACY

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

COMUNE DI CORIANO PROVINCIA DI RIMINI

Informativa sul trattamento e la protezione dei dati personali

Organismo per la gestione degli Elenchi degli Agenti in attività finanziaria e dei Mediatori creditizi

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

La normativa Europea sulla privacy

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

STUDIO LEGALE ASSOCIATO DI VITA LENZINI

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

DELIBERA DELL AMMINISTRATORE UNICO N.116 DEL 07/02/2019

Il Regolamento Europeo sulla protezione dei dati. Regolamento Ue 679/2016

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Il Sistema Integrato Gestione Privacy consente il raggiungimento ed il mantenimento degli standard previsti dal legislatore in ambito privacy.

POLITICA PER LA PROTEZIONE DEI DATI

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IL RUOLO DELLA PUBBLICA AMMINISTRAZIONE. Roma 16 dicembre 2016 Francesco Modafferi

Informativa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 per la protezione dei dati personali (GDPR) - Clienti -

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Articolo 25 : Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Gli Approfondimenti della

GENERAL DATA PROTECTION REGULATION (EU) 2016/679 GDPR

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Ruoli e responsabilità nel sistema GDPR. 25 luglio dott. Simone Chiarelli

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

BIANCA MARIA BARON & VALERIA ANDRETTA

Soluzioni professionali per la Privacy e la Sicurezza Informatica CHECK-LIST GDPR

DIRITTI DELL'INTERESSATO

NORMATIVA COMUNITARIA E

Transcript:

ICT Security Magazine ICT Security - La Prima Rivista Dedicata alla Sicurezza Informatica https://www.ictsecuritymagazine.com Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali Author : Mauro Formato Date : 6 Giugno 2019 Le sanzioni amministrative pecuniarie previste dal GDPR Una delle ragioni alla base dell interesse di massa sviluppatosi intorno al Reg. UE 2016/679[1] (di seguito GDPR) è sicuramente rinvenibile nello stringente sistema sanzionatorio che tale fonte normativa europea, nel suo art. 83, ha introdotto. Il GDPR prevede infatti due tipologie di sanzioni amministrative pecuniarie particolarmente stringenti: A. fino a 1.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; B. fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Al diverso ammontare della potenziale sanzione pecuniaria si accompagnano violazioni di differenti norme: nel caso delle sanzioni appartenenti alla tipologia A, le norme violate si riferiscono a: obblighi del titolare del trattamento e del responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43), obblighi dell'organismo di certificazione (art. 42 e 43) nonché agli obblighi dell'organismo di controllo (art. 41 par.4); nel caso delle sanzioni appartenenti alla tipologia B, invece, le norme violate riguardano: principi di base del trattamento (art. 5, 6, 7 e 9), diritti degli interessati (artt. da 12 a 22), trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale (artt. da 44 a 49), obblighi previsti dalle legislazioni degli Stati membri adottate a norma del capo IX, l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di 1 / 6

controllo o il negato accesso in violazione (art. 58). L elevato ammontare delle sanzioni pecuniarie previste dal Regolamento europeo ha costituito - e costituisce tuttora - cagione di evidente preoccupazione per i Titolari e i Responsabili del trattamento, intimoriti dalle possibili ripercussioni che sanzioni siffatte, unitamente ai probabili danni reputazionali collegati, potrebbero avere sulle proprie aziende o sul proprio business. In realtà, è lo stesso GDPR a porre un argine alla discrezionalità delle Autorità garanti per i dati personali nel determinare l ammontare della sanzione pecuniaria da comminare. L art. 83, paragrafo 2, prevede infatti una serie di criteri in base ai quali l eventuale sanzione dovrà essere parametrata: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. Nonostante tali criteri possano, in un certo senso, guidare l interprete, amplissimi spazi di incertezza permangono in merito all effettiva portata della sanzione economica cui il Titolare o il Responsabile andrebbero incontro in caso di inadempimento dei precetti normativi del GDPR. Tale indeterminatezza riverbera i propri effetti anche sui professionisti chiamati a coadiuvare le aziende nel processo di adeguamento alla normativa europea, i quali sono costretti a sforzi di astrazione per tentare di quantificare ai propri assistiti, nel modo migliore possibile, il plausibile costo di un disallineamento della condotta aziendale rispetto a quanto imposto o suggerito dal 2 / 6

GDPR. Il tutto va a pesare altresì sul già rilevante bilancio di incertezza dovuto all adeguamento a una normativa di recente introduzione, basata sul criterio - di matrice anglosassone - dell accountability, ossia della responsabilizzazione del titolare del trattamento, in forza del quale quest ultimo sarà tenuto, proattivamente, a dimostrare di aver attuato misure adeguate per garantire che il trattamento dei dati personali effettuato sia conforme allo stesso Regolamento. La Fining policy dell Autorità olandese per la protezione dei dati personali Nel quadro così tratteggiato, il primo e (sinora) unico tentativo di portare maggiore trasparenza del processo di determinazione della sanzione pecuniaria è stato effettuato dall Autorità garante per la protezione dei dati personali olandese. L Autoriteit Persoonsgegevens[2] ha infatti recentemente pubblicato una vera e propria Fining policy relativa al processo di determinazione delle sanzioni dovute alla violazione degli obblighi imposti dal GDPR. La policy olandese introduce un sistema basato su quattro categorie di sanzioni pecuniarie ricollegate alla violazione di norme specifiche del GDPR (indicate analiticamente negli allegati 1 e 2 delle Norme sulle norme dell'autorità per i dati personali del 19 febbraio 2019 per quanto riguarda la determinazione del livello delle ammende amministrative [3]). Le categorie in esame possono essere in tal modo schematizzate: Categoria Sanzione minima Sanzione massima Sanzione base I 0 200.000,00 100.000,00 II 120.000,00 500.000,00 310.000,00 III 300.000,00 750.000,00 525.000,00 IV 450.000,00 1.000.000,00 725.000,00 In base alla policy dell Autoriteit Persoonsgegevens, la Categoria I includerà violazioni minori, ad esempio l'inosservanza del diritto di rettifica o cancellazione o la mancata pubblicazione dei dati di contatto del DPO. Le categorie II e III copriranno la maggior parte delle possibili violazioni del GDPR, quali l inosservanza dei principi relativi al trattamento di dati personali (violazione dell'articolo 5) o dell'obbligo relativo alla liceità del trattamento (violazione dell'articolo 6). Naturalmente la Categoria IV si presterà a violazioni più gravi, come violazioni che implicano l'elaborazione di categorie di dati personali particolari, decisioni automatizzate o profilazione e qualsiasi trattamento illecito di dati giudiziari (per un analisi più approfondita sulle singole violazioni rientranti nelle quattro categorie sopracitate si rimanda alle tabelle di dettaglio in calce all articolo). L ammontare effettivo della sanzione sarà poi determinato a partire dalla sanzione base e aumentando o diminuendo tale importo sulla base dei molteplici criteri disciplinati nell art. 7 della Fining policy, quali: a) la natura, la gravità e la durata dell'infrazione, tenendo conto della 3 / 6

natura, o della finalità del trattamento in questione, nonché del numero di persone interessate e dell'entità del danno da esse subito; b) della natura dolosa o colposa della violazione; c) le misure che il titolare del trattamento o responsabile del trattamento hanno adottato per limitare il danno subito dagli interessati; d) il grado di responsabilità del titolare o del responsabile del trattamento sulla base delle misure tecniche e organizzative attuate conformemente agli articoli 25 e 32 del Regolamento generale sulla protezione dei dati; e) precedenti violazioni rilevanti; f) il grado di cooperazione con l'autorità di controllo per sanare l'infrazione e limitare le possibili conseguenze negative; g) le categorie di dati personali interessati dall'infrazione; h) il modo in cui l'autorità di vigilanza è venuta a conoscenza dell'infrazione, etc. Meritevoli di specifico approfondimento sono altresì alcune norme di chiusura, dalle quali traspare la meritoria opera di adeguamento dell Autorità olandese a quanto sancito dal paragrafo 9 dell art. 83 GDPR, ai sensi del quale le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive : nell art. 8 è disciplinata la possibilità di irrogare sanzioni amministrative superiori ai massimali di cui alle quattro categorie prima citate (sempre nel rispetto dei limiti previsti dal GDPR), nel caso in cui l ammontare della sanzione non sia tale da costituire un adeguata reazione alla violazione perpetrata dal Titolare o dal Responsabile del trattamento; l art. 9 prevede esplicitamente che la situazione economica del soggetto sanzionato venga presa in considerazione come elemento di parametrizzazione della sanzione; ciò comporta che l Autorità olandese ben potrebbe decidere di comminare una sanzione più lieve nel caso in cui l applicazione tassativa della Fining policy risultasse essere eccessivamente punitiva per il Titolare o Responsabile del trattamento. Considerazioni finali Anche nella consapevolezza dell ambito di applicazione della policy (limitato naturalmente all attività dell Autorità garante olandese) e dei pur ampi margini di discrezionalità che la caratterizzano[4], non si può ignorare la portata innovativa del provvedimento dell Autorità garante olandese. Nonostante infatti la normativa europea non imponga agli Stati membri di dotarsi di una politica di dettaglio in relazione all applicazione dell art. 83, la policy olandese potrebbe fungere da apripista per l emissione di simili provvedimenti anche da parte delle altre Autorità garanti europee che volessero emulare i colleghi dell Autoriteit Persoonsgegevens nell emissione di provvedimenti atti a chiarire e precisare la portata applicativa dell art. 83 GDPR. La categorizzazione delle violazioni e delle relative sanzioni potrebbe altresì rappresentare uno strumento in più a disposizione di Titolari e Responsabili del trattamento per poter valutare, con un maggiore grado di precisione, le conseguenze patrimoniali di una violazione o di un mancato adeguamento alle norme previste dal GDPR. Tabella di dettaglio relativa agli allegati 1 e 2 della Fining policy olandese 4 / 6

Articolo GDPR Rubrica della norma C Allegato 1 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della si dell'informazione 11 Trattamento che non richiede l'identificazione I 25 Protezione dei dati fin dalla progettazione e protezione dei dati per imposi predefinita 26 Contitolari del trattamento I 27 (fatto salvo il III par.) Rappresentanti di titolari del trattamento o dei responsabili del trattamenti stabiliti nell'unione 27 (III par.) Rappresentanti di titolari del trattamento o dei responsabili del trattamenti stabiliti nell'unione 28 (fatto salvo il IX par.) Responsabile del trattamento I 28 (IX par.) Responsabile del trattamento I 29 Trattamento sotto l'autorità del titolare del trattamento o del responsabilei trattamento I 30 (fatto salvo il III par.) Registri delle attività di trattamento I 30 (III par.) Registri delle attività di trattamento I 31 Cooperazione con l'autorità di controllo I 32 Sicurezza del trattamento I 33 (fatto salvo il III par.) Notifica di una violazione dei dati personali all'autorità di controllo I 33 (III par.) Notifica di una violazione dei dati personali all'autorità di controllo I 34 (fatto salvo il II par.) Comunicazione di una violazione dei dati personali all'interessato I 34 (II par.) Comunicazione di una violazione dei dati personali all'interessato I 35 (fatto salvo il IX par.) Valutazione d'impatto sulla protezione dei dati I 35 (IX par.) Valutazione d'impatto sulla protezione dei dati I 36 Consultazione preventiva I 37 (fatto salvo il VII par.) Designazione del responsabile della protezione dei dati I 37 (VII par.) Designazione del responsabile della protezione dei dati I 38 (fatti salvi il II e il VI par.) Posizione del responsabile della protezione dei dati I 38 (II e VI par.) Posizione del responsabile della protezione dei dati I 39 Compiti del responsabile della protezione dei dati I 41 (IV par.) Controllo dei codici di condotta approvati I 42 (fatti salvi il III e il VI par.) Certificazione I 42 (III par.) Certificazione I 42 (III par.) Certificazione I 43 (VI par.) Organismi di certificazione I Allegato 2 5, I par. esclusa la lettera a) Principi applicabili al trattamento di dati personali I 5, I par. lettera a) e II par. Principi applicabili al trattamento di dati personali I 6 Liceità del trattamento I 5 / 6

Powered by TCPDF (www.tcpdf.org) 7 Condizioni per il consenso I 9 Trattamento di categorie particolari di dati personali I 12 (fatti salvi il III, IV e V par.) Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diriti dell'interessato 12 (III, IV e V par.) Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diriti dell'interessato 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interi 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti prei l'interessato 15 Diritto di accesso dell'interessato I 16 Diritto di rettifica I 17 Diritto alla cancellazione («diritto all'oblio») I 18 (fatto salvo il III par.) Diritto di limitazione di trattamento I 18 (III par.) Diritto di limitazione di trattamento I 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o I limitazione del trattamento 20 Diritto alla portabilità dei dati I 21 (fatto salvo il IV par.) Diritto di opposizione I 21 (IV par.) Diritto di opposizione I 22 Processo decisionale automatizzato relativo alle persone fisiche, comprei profilazione 44 Principio generale per il trasferimento I 45 Trasferimento sulla base di una decisione di adeguatezza I 46 Trasferimento soggetto a garanzie adeguate I 47 Norme vincolanti d'impresa I 48 Trasferimento o comunicazione non autorizzati dal diritto dell'unione I 49 Deroghe in specifiche situazioni I Tutti gli obblighi previsti dagli stati membri ai sensi del Capo Disposizioni relative a specifiche situazioni di trattamento I a IX GDPR 58 Poteri I Note [1] https://www.garanteprivacy.it/regolamentoue. [2] https://autoriteitpersoonsgegevens.nl/. [3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf. [4] Aspetto evidenziato anche da importanti esponenti del panorama forense olandese: https://globaldatareview.com/article/1188985/dutch-watchdog-releases-gdpr-fining-policy. Articolo a cura di Mauro Formato 6 / 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back