logo elabo bianco 20 anni

Partono i controlli sull’attuazione da parte delle aziende e dei professionisti del regolamento GDPR, il Regolamento Generale sulla Protezione dei Dati. La Deliberazione del 6 febbraio 2020, sancisce l’attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza. In questo post vedremo come avvengono i controlli relativi alle norme sulla privacy e come prepararsi, quali sono le aziende soggette agli accertamenti ispettivi e quali sono i documenti maggiormente richiesti.

Come avvengono i controlli GDPR

Gli accertamenti ispettivi sono condotti dal Nucleo Speciale Privacy della Guardia di Finanza e, nei casi più gravi, da funzionari del Garante i quali procedono personalmente alle ispezioni. Le ispezioni possono essere annunciate tramite comunicazione a mezzo PEC, spesso il giorno prima dell’ispezione stessa, ma possono anche avvenire a sorpresa. Per questo motivo è opportuno individuare i soggetti preposti alla gestione degli ispettori.
Le attività ispettive possono scaturire sia a seguito di una segnalazione da parte di uno o più soggetti interessati, o d’ufficio, su iniziativa del Garante. Durante suddetti controlli verrà richiesto di comprovare l’accountability, ossia dimostrare di aver attuato misure opportune, efficaci e adeguate per salvaguardare i dati personali trattati. In fase di controllo del Garante, infatti, l’azienda deve saper dimostrare, in maniera logica e documentata, quanto fatto per adempiere alla normativa sulla protezione dei dati personali.

Come prepararsi ai controlli GDPR

È segno di “accountability” che le figure aziendali deputate a relazionarsi con gli ispettori siano pronte al momento dei controlli GDPR, che in genere durano tra i 2 e i 3 giorni. I soggetti in questione saranno: 

Ecco alcuni consigli pratici per affrontare al meglio un’eventuale ispezione:

I documenti richiesti

In un articolo precedente, abbiamo affrontato il tema dei documenti da produrre per la GDPR. Durante un’ispezione privacy vengono, in genere, richiesti i seguenti documenti:

Sanzioni

Nel 2019 le sanzioni legate alle violazioni del GDPR hanno sfiorato i 16 milioni di euro. L’ammontare della multa è calcolato in percentuale rispetto al fatturato globale annuo mondiale di chi tratta i dati e colpiscono anche le grandi piattaforme e società nordamericane che trattano i dati degli europei. Infatti, il regolamento GDPR viene applicato anche a società che non hanno sede in Unione Europea. Le sanzioni terranno conto dei seguenti fattori:

Le violazioni si dividono in due macro categorie. Esse comprendono:

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista dei controlli GDPR, in particolare per dotarvi delle procedure e prassi necessarie a dimostrare “accountability”. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Il 4 settembre è stato pubblicato in Gazzetta Ufficiale il nuovo Decreto Privacy (D.Lgs. n. 101/2018): la legge con cui l’Italia recepisce regolamento europeo GDPR in materia di tutela dei dati personali. Il decreto, che entrerà a tutti gli effetti in vigore il 19 settembre, modifica, ma non sostituisce il Testo unico sulla privacy del 2003.

Il sistema regolatorio italiano sulla privacy, quindi, sarà composto da questi due documenti, a cui si aggiungono tutte le precedenti pronunce del Garante e le autorizzazioni generali, prolungate fino a data da destinarsi. Una giungla in cui per le aziende non è facile orientarsi.

Il nuovo decreto privacy

L’armonizzazione della legge italiana era attesa da maggio 2018, data di entrata in vigore di GDPR in tutta Europa. Su questo blog abbiamo seguito con attenzione questa fase di transizione. Perché da una parte GDPR mira a tutelare i cittadini nei confronti delle aziende (eclatante il caso Facebook). Dall’altra però rappresenta anche un adempimento non facile da applicare per le PMI, con il rischio di pesanti sanzioni.

Le sanzioni previste da GDPR

Le imprese che violano gli obblighi introdotti da GDPR (ne abbiamo già parlato in questo articolo) possono incorrere in sanzioni da 10 a 20 milioni di euro, o comprese tra il 2% e il 4% del fatturato. Inoltre il nuovo decreto privacy prevede l’applicazione di alcune fattispecie di reato del Codice Penale, come trattamento illecito, acquisizione fraudolenta, false dichiarazioni...

Nessun periodo di non-sanzionabilità

Arriviamo quindi alla cosiddetta “sospensione” delle sanzioni. L’art. 22 del nuovo decreto privacy prevede che per i primi otto mesi dalla sua entrata in vigore, il Garante per la privacy tenga conto di una “fase di prima applicazione”. Non definisce tuttavia alcun periodo di moratoria o non-sanzionabilità.

Le PMI possono comunque approfittare di questo periodo per armonizzare i nuovi obblighi coi processi aziendali. Come annunciato dal Garante infatti, i controlli inizialmente si concentreranno su aziende che gestiscono banche dati di grandi dimensioni, istituti di credito, società di telemarketing.

Semplificazione e curriculum

Il nuovo provvedimento, in ogni caso, non ignora le esigenze di semplificazione delle piccole e medie aziende. Ha affidato quindi al Garante il compito di introdurre modalità di adempimento semplificate degli obblighi previsti specificamente rivolte alle PMI.

È già nel testo del nuovo decreto privacy, invece, una norma (Art. 9) che semplifica la gestione dei dati contenuti nei curriculum vitae. In particolare, per quanto riguarda i CV inviati spontaneamente dai candidati all’azienda, l’informativa sul trattamento dei dati e l’acquisizione del consenso potrà essere consegnata dall’azienda al soggetto interessato nella prima occasione di incontro successiva alla ricezione del curriculum.

Gli obblighi previsti

Ricordiamo infine i principali obblighi che le imprese (anche PMI) sono tenute ad assolvere in base a GDPR:

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Come abbiamo già ricordato in un precedente post, una delle principali novità per le aziende nel 2018 riguarda il trattamento dei dati personali. Il prossimo 25 maggio, infatti, entrerà in vigore il nuovo regolamento europeo 2016/679 sulla privacy (Gdpr). La nuova norma comporta diversi cambiamenti che riguardano tutte le aziende. (E può rappresentare anche un’opportunità). La sua violazione, tuttavia, comporta pesanti sanzioni.

Nuove norme sulla privacy

Il nuovo regolamento ha l’obiettivo di garantire a tutti i cittadini dell’Unione pieno controllo sui propri dati personali. Al contempo uniformerà le norme dei Paesi membri in materia di privacy. Tra i suoi effetti, quindi, Gdpr favorirà la circolazione dei dati all’interno dell’Ue, oggi molto limitata a causa delle differenti legislazioni. Pur definendo regole stringenti, quindi, Gdpr diventerà anche un’opportunità strategica per le aziende.

Quali sono le novità introdotte?

Gdpr in Italia andrà a sostituire l’attuale “Codice in materia di protezione dei dati personali” e la Direttiva CE 95/46. Le novità principali riguardano:

Cosa cambia per le aziende?

Il nuovo regolamento 2016/679 comporta per le aziende che trattano dati personali (praticamente tutte!) diversi cambiamenti a livello organizzativo:

Retroattività e sanzioni

Le sanzioni per il mancato rispetto del regolamento sono particolarmente severe, comprese tra il 2 e il 4% del fatturato globale annuo dell’azienda che commette illecito. Per quanto riguarda la retroattività il Regolamento sancisce che non occorre rinnovare le richieste di consenso per il trattamento dei dati se questo è stato espresso secondo modalità conformi nella disciplina previgente.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

E_LABO SRL
Via dell’Industria 48/C int.1 - 36071 Arzignano (VI)
C.F. e P.IVA IT 03093450249 | REA VI - 298371
Tel: 0444 478406 | E-mail: e-labo@e-labo.it
Created by Hassel Omnichannel
crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram