Academy Assiteca GDPR

GDPR: il punto sulla protezione dei dati tra codici di condotta, violazioni e sanzioni

Condividi

Il Comitato Europeo per la Protezione dei Dati ha adottato le linee guida per i codici di condotta contemplati dal Regolamento Europeo sulla protezione dei dati personali e ha avviato la consultazione pubblica. Nei primi otto mesi, sono state registrate 59.430 violazioni dei dati personali.

 

Al via la consultazione sui codici di condotta. Si attende inoltre un provvedimento sulle certificazioni

Il GDPR spaventa ancora molte imprese, che non sono certe di essersi allineate del tutto al nuovo Regolamento europeo. Sono state disposte le prime sanzioni e il rischio cyber è in aumento.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha avviato il periodo di consultazione pubblica delle linee guida per i codici di condotta normati dagli articoli 40 e 41 del GDPR.

Le linee guida rendono omogenee le procedure che dovranno essere osservate dalle autorità nazionali per descrivere le modalità di presentazione delle richieste dei codici di condotta.

I codici di condotta saranno utili a categorie e associazioni che hanno in comune attività di trattamento dei dati per raccogliere regole comuni che applichino in modo più efficace il GDPR, in base alle esigenze specifiche di ogni settore. Per partecipare alla consultazione pubblica, si possono inviare segnalazioni all’EDPB, entro il 2 aprile.

Dovrebbe invece essere adottato a breve un provvedimento generale sulle certificazioni relative alla protezione dei dati personali, entrato in consultazione a dicembre. L’articolo 42 del Regolamento Europeo 2016/679 prevede infatti che gli Stati membri, le autorità di controllo, il comitato e la Commissione Regolamento UE 2016/679 incoraggino l’istituzione di meccanismi per la certificazione della protezione dei dati personali, per dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

Ai sensi del GDPR, il rispetto degli obblighi sulla privacy può essere dimostrata anche tramite l’adesione ai codici di condotta.

Data Breach: molte le violazioni già registrate

Nei circa 8 mesi successivi all’entrata in vigore del Regolamento Europeo sulla Protezione dei Dati Personali, dal 25 Maggio 2018 fino a febbraio 2019, un Report DLA Piper sulle violazioni del regolamento europeo sulla privacy ha contato 59.430 data breach.

Per data breach si intende la violazione di sicurezza accidentale o volontaria e illecita che provoca la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, trasmessi o conservati.

Il GDPR impone la notifica di eventuali violazioni di dati senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui si viene a conoscenza della violazione.

Stando al Report DLA, su 23 Paesi UE considerati - cinque non hanno reso pubblici i dati - quelli che hanno registrato il maggior numero di violazioni sono Germania, Regno Unito e Paesi Bassi: questi tre Paesi raccolgono i due terzi di tutte le violazioni, 38.600 data breach in totale.

Si attende un sensibile aumento delle multe

A fronte di un numero significativo di violazioni, le Autorità preposte all'applicazione del Regolamento hanno irrogato solo 91 multe.

Una prima sanzione è stata irrogata dal Garante tedesco il 22 novembre 2018, che ha condannato il sito Knuddels.de al pagamento di 20 mila euro per aver violato l’art. 32 del GDPR, ovvero la norma relativa alla sicurezza del trattamento dei dati.

Le multe più esose restano quella comminata dalla CNIL, l’Autorità garante francese per la privacy, a Google, con 50 milioni di euro per scarsa trasparenza sulla finalità del trattamento dati e sul poco chiaro consenso richiesto agli utenti e quella applicata in Germania all'azienda che non ha protetto adeguatamente le password dei dipendenti, di 20 mila euro.

Ad un’azienda austriaca è stata inflitta una sanzione da 4.800 euro per il sistema di telecamere a circuito chiuso non autorizzato che si affacciava sulla strada e si ricordano infine quattro multe cipriote del totale di 11.500 euro.

Siamo tuttavia ancora in fase di adeguamento della direttiva, con rallentamenti burocratici che aumenteranno significatamene l’importo e la quantità delle sanzioni una volta smaltiti i casi arretrati.

Secondo lo studio citato, nel 2019 è infatti previsto un aumento sensibile delle multe per violazione del GDPR, anche per centinaia di milioni di euro da parte dei Garanti Privacy locali.

Le sanzioni previste dal regolamento

Il nuovo Regolamento europeo sulla protezione dei dati personali ha introdotto sostanziali novità per la tutela dei dati e per la loro circolazione, soprattutto per quanto riguarda le sanzioni amministrative.

L’art. 83 del Regolamento (reg. (UE) n. 679/2016) individua i soggetti responsabili delle violazioni attraverso un principio generale di responsabilità civile ripartita tra titolare e responsabile del trattamento dei dati, per tutti i casi di danno prodotto, all'interessato o a terzi, nello svolgimento delle attività connesse al trattamento.

Si prevede un principio di proporzionalità nell'applicazione della pena per violazione, secondo il grado di gravità del fatto commesso e della natura dolosa o colposa della trasgressione, nonché di eventuali reiterazioni del comportamento illecito e di collaborazione con il Garante della Privacy, quale organo competente.

L’art. 83 del GDPR e la corrispondente norma attuativa, l’art. 166 d.lgs. n. 101/2018 distinguono due gruppi di sanzioni amministrative, illustrate nella tabella seguente.

GDPR sanzioni

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI