La violazione della privacy e le sanzioni previste dalla normativa comunitaria

Documenti analoghi
NUCLEO SPECIALE TUTELA PRIVACY

L ATTIVITA ISPETTIVA E SANZIONATORIA: IL RUOLO DELLA GUARDIA DI FINANZA

Violazioni in materia di protezione dei dati personali - Sanzioni e definizione agevolata

STUDIO ADRIANI. Dottori Commercialisti Associati ADRIANA ADRIANI & DAMIANO ADRIANI. CIRCOLARE STUDIO ADRIANI n. 74/2018

VERIFICHE ISPETTIVE PER LA PUBBLICA

Misure di Sicurezza Adeguate - Art. 32

Sara Landini - Ordinario Università di Firenze

Decreto GDPR e sanzioni penali

Modifiche al Codice della Privacy

Cosa fare nel caso in cui i dati personali vengano violati? (c.d. «Data Breach»)

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

I poteri del Garante e le Ispezioni

regolamento UE 679/16

GDPR: Adempimenti e sanzioni. Valentina Amenta

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

D.LGS. 10/08/2018, n DISPOSIZIONI PER L'ADEGUAMENTO DELLA NORMATIVA NAZIONALE ALLE DISPOSIZIONI DEL REGOLAMENTO (UE) 2016/679 LORO SEDI

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

Modello per l esercizio del Diritto di Accesso (ex Art. 15 GDPR) Luogo,, Data, / /.

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

DOCUMENTO IN CONSULTAZIONE

Mondi diversi e Sistemi Privacy univoci

Organismo per la gestione degli Elenchi degli Agenti in attività finanziaria e dei Mediatori creditizi

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Convegno Annuale AISIS

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

Atto di DESIGNAZIONE. Titolare del trattamento DPO (RPD) Responsabile esterno. Atto di NOMINA

Regolamento UE 2016/679 in materia di protezione dei dati personali

Tabella delle concordanze: avamprogetto LPD/ riforma del Consiglio d Europa / riforma dell Unione europea

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Riportiamo di seguito alcuni punti trattati da tale decreto

GDPR 679/2016 A un anno dall entrata in vigore del Nuovo Regolamento Privacy

Accettazione incarico di insegnante di teoria e/o istruttore di guida DICHIARA

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR REG. UE 2016/679)

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Privacy e Protezione dei dati

LE VIOLAZIONI DELLA PRIVACY ED IL PROCEDIMENTO SANZIONATORIO ROMA, 12 APRILE 2017

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

NORMATIVA COMUNITARIA E

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

DICHIARA. ai sensi degli artt del D.P.R. 28 dicembre 2000 n di essere nato/a il 1 a (Prov. ) codice fiscale

Requisiti legale rappresentante/socio amministratore impresa 1 DICHIARA

Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali

CORSO PRIVACY CERTIFICATO PER PRIVACY OFFICER

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

IL NUOVO REGOLAMENTO PRIVACY

Circolare n. 78 del 30 Maggio 2018

SISTEMA DISCIPLINARE DI CENTOSTAZIONI S.p.A

Indice sommario. Indice sommario

Le sanzioni penali previste nel nuovo D. lgs. n. 101/2018

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

Diritti dell interessato.

ALLEGATO B DGR nr. 865 del 15 giugno 2018

Codice sanzionatorio t 2 i s.c.a r.l.

Impiego di cittadini di paesi terzi il cui soggiorno è irregolare

Modello di Organizzazione, di Gestione e Controllo

Requisiti soggettivi personale docente Insegnante di teoria Istruttore di vela - Accettazione incarico DICHIARA

La direttiva 2004/48/CE sul rispetto dei diritti di proprietà intellettuale. Erik Nooteboom Capo unità Proprietà industriale

Sanzioni penali e amministrative in materia di antiriciclaggio

Approvato dal Consiglio di Amministrazione del 25 maggio 2012

PARTE SPECIALE 7. Impiego di cittadini di paesi terzi il cui soggiorno è irregolare

La nuova normativa sulla privacy avv. Pietro Maria di Giovanni

Regolamento (UE) 679/2016 Affrontare il GDPR come un Sistema di Gestione

SPAZIO TEMPO VINTAGE di GALLINARO VERONICA Via G. Miani, n Rovigo

Aspetti sanzionatori e penali del decreto delegato

REGOLAMENTO DI DISCIPLINA

Academy. Costo del corso: 4000,00 euro + IVA (sono previsti sconti o borse di studio per particolari situazioni meritevoli) Parte Generale

Il Codice Privacy italiano alla luce del Dlgs 101/2018 Le novità

PROTEZIONE DEI DATI E TRASPARENZA AMMINISTRATIVA Seminario di formazione. I PROFILI SANZIONATORI dr. Alessandro Bartolozzi

istituendo per tempo un assetto programmatico e giuridico per l'economia dei dati

INFORMATIVA AI SENSI DEL REGOLAMENTO (UE) N. 2016/679 ( GDPR )

Chiede. DICHIARA (ai sensi degli articoli 46 e 47 del d.p.r. 445/2000)

C O D I C E DISCIPLINARE - SANZIONATORIO

ESTRATTO DEL SISTEMA DISCIPLINARE DI CUI AL D.LGS. 231/01. DECAL Depositi Costieri Calliope S.p.a.

Sommario. 1. Prefazione Le principali novità contenute nel Regolamento B. Contenuto del Regolamento... 7

GDPR: aderenze e impatti della fatturazione elettronica su privacy e protezione dati. Prof.ssa Avv. Giusella Finocchiaro

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Privacy e illeciti penali STUDIO LEGALE BRIOLA 1

Informazioni Generali Privacy DPSS Sanzioni Amministrative e Penali

STUDIO MIGLIETTA ASSOCIAZIONE PROFESSIONALE STUDIO COMMERCIALISTA REVISIONE CONTABILE

GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

INFORMATIVA AI SENSI DEL REGOLAMENTO (UE) N. 2016/679 ( GDPR )

PRIVACY. Il nuovo Regolamento europeo 2016/679. Soggetti - Adempimenti - Sanzioni. Studio legale Chiodi

INFORMATIVA CLIENTI / FORNITORI Informativa Privacy ai sensi del Regolamento UE 679/2016 in materia di protezione dei dati personali

La Responsabilità della Privacy

La responsabilità degli enti in materia ambientale e i principi generali del d.lgs. n. 231/2001

Programma. in collaborazione con

Realizzazione. Certifico S.r.l.

La normativa Europea sulla privacy

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Università Roma Tre Facoltà di Scienze della formazione Corso di laurea in Servizio Sociale e Sociologia L.39 A.A

Il Pacchetto protezione dati UE: le novità in materia di protezione, circolazione e trattamento dei dati personali

PARTE I DISPOSIZIONI COMUNI. Art. 1 (Definizioni)

Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001. Allegato_2 Sistema Disciplinare

PROTEZIONE E TRATTAMENTO DEI DATI PERSONALI:UN NUOVO APPROCCIOA LIVELLO EUROPEO

CAPO I Principi generali. CAPO II Obblighi per il titolare del trattamento

Circolare N.109 del 18 Luglio Violazioni della privacy su internet più difficili e interessati più informati

Transcript:

La violazione della privacy e le sanzioni previste dalla normativa comunitaria Autore: Redazione In: Focus Il presente contributo è tratto da I ricorsi al garante della privacy di Michele Iaselli. Nell ambito del diritto dell UE, l articolo 83 del regolamento n. 2016/679 autorizza le autorita di controllo degli Stati membri a infliggere sanzioni amministrative pecuniarie in relazione a violazioni del regolamento. Il livello delle sanzioni e le circostanze delle quali le autorita nazionali tengono conto nel decidere se infliggere una sanzione, nonche il tetto massimo di tali sanzioni sono anch essi fissati nell articolo 83. Il regime sanzionatorio e pertanto armonizzato in tutta l UE. Il sistema sanzionatorio a più livelli Nell infliggere le sanzioni, il G.D.P.R. segue un approccio a piu livelli. Le autorita di controllo hanno il potere di infliggere sanzioni amministrative pecuniarie per violazioni del regolamento fino a 20 milioni di euro o, per le imprese, il 4% del fatturato mondiale totale annuo, se superiore. Le violazioni che possono comportare questo livello di sanzioni includono le violazioni dei principi fondamentali del trattamento e le condizioni relative al consenso, le violazioni dei diritti degli interessati e delle disposizioni del regolamento che disciplinano il trasferimento di dati personali a destinatari in Paesi terzi. Per altre violazioni, e piu precisamente in caso di violazioni degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 o di violazione degli obblighi dell organismo di certificazione, le autorita di controllo possono infliggere sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore. Nel decidere il tipo e il livello della sanzione da infliggere, le autorita di controllo devono tenere conto di diversi elementi. Ad esempio, devono tenere debito conto della natura, gravita e durata della violazione, delle categorie di dati personali interessate e del carattere doloso o colposo della violazione. Se un titolare del trattamento ha adottato misure per attenuare il danno subito dagli interessati, deve esserne tenuto conto. Analogamente, il grado di cooperazione con l autorita di controllo a seguito della violazione e la maniera in cui quest ultima ha preso conoscenza della stessa (ad esempio, se e stata segnalata dall entita responsabile del trattamento o da un interessato i cui diritti sono stati violati) sono altri fattori importanti che guidano le autorita di controllo nella loro decisione. In particolare, gli elementi di cui bisogna tener conto per irrogare la sanzione amministrativa sono: 1 di 5

1. 2. 3. 4. 5. 6. 7. 8. a) la natura, la gravita e la durata della violazione; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subi to dagli interessati; d) il grado di responsabilita del titolare del trattamento o del responsabile del trattamento; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l autorita di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l autorita di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; 9. i) qualora siano stati precedentemente disposti provvedimenti di cui all articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 10. 11. j) l adesione ai codici di condotta; k) eventuali altri fattori aggravanti o attenuanti. Oltre alla possibilita di imporre sanzioni amministrative pecuniarie, le autorita di controllo hanno a disposizione una vasta gamma di altri poteri correttivi. I cosiddetti poteri «correttivi» delle autorita di controllo sono sanciti dall articolo 58, secondo paragrafo del G.D.P.R. e sono: 1. a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento; 2. b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; 2 di 5

3. c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell interessato di esercitare i diritti loro derivanti dal presente regolamento; 4. d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; 5. 6. e) ingiungere al titolare del trattamento di comunicare all interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; 7. g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell articolo 17, paragrafo 2, e dell articolo 19; 8. h) revocare la certificazione o ingiungere all organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono piu soddisfatti; 9. i) infliggere una sanzione amministrativa pecuniaria ai sensi dell articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; 10. j) ordinare la sospensione dei flussi di dati verso un destinatario in un Paese terzo o un organizzazione internazionale. Sanzioni amministrative e sanzioni penali L art. 84 del G.D.P.R. attribuisce, comunque, in materia una certa discrezionalita agli Stati membri nel momento in cui stabilisce che gli stessi determinano le sanzioni per le violazioni del Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell articolo 83, e prendono tutti i provvedimenti necessari per assicurarne l applicazione. Proprio in considerazione di tali margini discrezionali riconosciuti dal regolamento comunitario il legislatore nazionale con il d.lgs. n. 101/2018 nel riformare il codice in materia di protezione dei dati personali ha deciso di ribadire l esistenza di sanzioni penali, anzi ha introdotto anche nuove fattispecie 3 di 5

incriminatrici. Innanzitutto il legislatore ha ritenuto opportuno proporre l opzione volta a depenalizzare la fattispecie di cui all art. 169 del Codice (Misure di sicurezza). Difatti le radicali modifiche apportate alle misure minime di cui all articolo 33 che hanno imposto di dequotare la corrispondente fattispecie sanzionatoria, applicando le sanzioni amministrative nei casi previsti dal Regolamento. Quanto all articolo 167, invece, occorre osservare che tale fattispecie, nell esperienza giurisprudenziale formatasi, ha dimostrato una limitata operativita ed una scarsa aderenza a ipotesi di trattamento illecito realmente significative. Pertanto, in luogo di tale fattispecie ne e stata introdotta altra, ben differente, contraddistinta dall intento di arrecare danno all interessato ed alla quale se ne aggiungono ulteriori come l art. 167-bis in caso di comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala e l art. 167-ter in caso di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala. L art. 167-bis dispone che chiunque comunica o diffonde al fine di trarre profitto per se o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, e punito con la reclusione da uno a sei anni. Inoltre anche chiunque, al fine trarne profitto per se o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, e punito con la reclusione da uno a sei anni, quando il consenso dell interessato e richiesto per le operazioni di comunicazione e di diffusione. L art. 167-ter, invece, stabilisce che chiunque, al fine trarne profitto per se o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala e punito con la reclusione da uno a quattro anni. Rispetto alla fattispecie di cui all articolo 168 (Falsita nelle dichiarazioni e notificazioni al Garante), si e ritenuto opportuno conservare l opzione punitiva giacche tale fattispecie sanziona condotte caratterizzate da apprezzabile meritevolezza di pena e/o contrassegnate da significativo disvalore. Tale previsione, del resto, e esclusa dall ambito di applicazione delle sanzioni amministrative, non ponendo problemi in punto di ne bis in idem. In riferimento al reato previsto ex articolo 170 (Inosservanza di provvedimenti del Garante), si e ritenuto di mantenere l illecito seppur inquadrato negli attuali ambiti normativi. 4 di 5

Al pari si e ritenuto di mantenere, anche, l illecito di cui all art.171, seppur diversamente rubricato (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) e con specifici riferimenti all art. 4 dello Statuto dei Lavoratori. Per quanto riguarda le sanzioni contro le violazioni del diritto dell UE da parte delle istituzioni o degli organismi dell UE, a causa della speciale competenza del regolamento sulla protezione dei dati da parte delle istituzioni dell UE, le sanzioni possono essere previste sotto forma di provvedimenti disciplinari. A norma dell articolo 49 del regolamento, «il funzionario o altro agente delle Comunita europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento e passibile di provvedimenti disciplinari [...]». Si ricorda che il gruppo di lavoro ex art. 29 per la protezione dei dati ha adottato il 3 ottobre 2017 delle linee guida riguardanti l applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679. Nell ambito del diritto del Consiglio d Europa, l articolo 12 della Convenzione n. 108 modernizzata prevede che ciascuna parte contraente debba definire le sanzioni e i ricorsi appropriati per le violazioni delle disposizioni di diritto nazionale che danno attuazione ai principi fondamentali della protezione dei dati enunciati nella Convenzione n. 108. La Convenzione non stabilisce ne impone una particolare serie di sanzioni. Al contrario, specifica chiaramente che ciascuna parte contraente ha la facolta di determinare la natura delle sanzioni giurisdizionali o non giurisdizionali, che possono essere penali, amministrative o civili. La relazione esplicativa della Convenzione n. 108 modernizzata prevede che le sanzioni debbano essere efficaci, proporzionate e dissuasive. Le parti contraenti devono rispettare tale principio nel determinare la natura e la gravita delle sanzioni disponibili nel loro ordinamento giuridico interno. Potrebbe interessarti anche il seguente articolo: Il Garante sanziona Facebook per la mancanza di una corretta informativa circa i dati raccolti con finalità di profilazione psicologica degli utenti Il presente contributo è tratto da I ricorsi al garante della privacy di Michele Iaselli https://www.diritto.it/la-violazione-della-privacy-e-le-sanzioni-previste-dalla-normativa-comunitaria/ 5 di 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back