GDPR: il tempo è scaduto

GDPR IL TEMPO E SCADUTO AVV SILVIA DI VIRGILIO LEX AROUND ME MILANO

GDPR: il tempo è scaduto. Il momento è arrivato.

Guardando i vari siti, anche istituzionali, molti sono ancora privi di un’informativa privacy aggiornata e non prevedono un consenso granulare nei form di contatto o di registrazione. E molti non si sono ancora dotati di protocolli sicuri.

Ma ormai siamo al capolinea.

Il 20 maggio scade il periodo di tolleranza e il Garante potrà applicare, senza deroghe, le sanzioni previste dal GDPR per l’inosservanza al  trattamento dei dati in modo corretto.

I destinatari delle ispezioni sono i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala. E chi tratta i dati sulla salute.

In ambito pubblico l’attenzione ricade sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

Cosa succede se viene riscontrata una violazione

L’autorità di controllo può imporre al titolare delle misure di natura correttiva, da attuare nell’immediatezza. Compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;

Se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali.

La violazione può comportare:

  • danni reputazionali a carico del titolare  con gravi conseguenze sull’attività dell’azienda
  • responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari
  • applicazione di sanzioni amministrative da parte dell’autorità di controllo
  • applicazione di eventuali sanzioni penali.

Il Regolamento Europeo distingue due gruppi di violazioni.

Rientra nel primo gruppo l’inosservanza degli obblighi:

  • del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43
  • dell’organismo di certificazione a norma degli articoli 42 e 43
  • dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

In questo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore.

Rientra nel secondo gruppo l’inosservanza di:

  • principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9
  • diritti degli interessati a norma degli articoli da 12 a 22
  • trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX
  • un ordine, di una limitazione provvisoria o definitiva di trattamento
  • un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2
  • facoltà di accesso in violazione dell’articolo 58, paragrafo 1.

Le sanzioni vanno fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

In ogni caso le sanzioni cono viste come uno strumento dissuasivo e saranno, quindi, proporzionate anche all’azienda così da non costringerla a chiudere l’attività.

Sanzioni correttive

L’autorità di controllo ha il potere di irrogare anche sanzioni correttive:

  • avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme
  • ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti
  • infliggere le sanzioni amministrative pecuniarie
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

L’importanza del rispetto da parte del titolare degli adempimenti previsti dal GDPR non deve essere valutato solo per il rischio di sanzioni.

Il Titolare del Trattamento deve comprendere il nuovo approccio contenuto nel GDPR.E deve dimostrare la sostanza degli adempimenti e non solo un rispetto formale delle norme.

Inoltre l’adempimento deve essere dimostrato e non semplicemente eseguito.

 

Se vuoi approfondire gli argomenti trattati nel Post oppure vuoi risolvere una tua questione legale prenota qui la tua consulenza.

Per tutti gli aggiornamenti segui #LexAroundMe

Lascia qui il tuo commento al blog e ai servizi di LexAround.me

 

#GDPR: il tempo è scaduto #Privacy #Internet #NewsAroundMe #LexAroundMe Condividi il Tweet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.