Attività ispettiva di iniziativa del Garante per la protezione dei dati personali

0

Le indicazione dall’Ufficio del Garante sull’attività ispettiva di iniziativa per la protezione dei dati personali.

Pronti, partenza….

Di Daniela Di Gravio. LexCY Net

Mancano appena due mesi per mettersi in regolare con la nuova normativa sulla protezione dei dati dettata dal Regolamento UE 2016/679, c.d. GDPR, che entrerà in vigore il prossimo 25 maggio 2018.

Nell’ambito del settore della privacy c’è molto fermento. C’è chi si sta guardando intorno e chi ha già tutto pianificato, ma i più non sanno da dove cominciare.
Secondo le indicazioni del Garante per la protezione dei dati personali, con deliberazione del 1 febbraio 2018, fino a giugno 2018 l’attività ispettiva sarà indirizzata ai trattamenti di cinque categorie di interessati, e cioè ASL, Istat, SPID, società di telemarketing e società che svolgono attività di rating sul rischio e sulla solvibilità delle imprese.
Per quanto riguarda le ASL l’attività di ispezione riguarderà il trattamento di dati sanitari in relazione al loro trasferimento in favore di terzi per il loro utilizzo ai fini della ricerca.
Per quanto riguarda l’Istat l’attività del Garante sarà rivolta ai trattamenti effettuati per una preliminare verifica sul SIM, Sistema Integrato di Microdati e altri sistemi , in base al programma statistico nazionale del 20 ottobre 2015. Orientativamente in questo ambito il Garante prevede una quindicina di accertamenti ispettivi di iniziativa.
Come secondo ambito verso il quale sarà indirizzata l’attività ispettiva ci sono soggetti pubblici o privati che effettuano trattamenti di dati sensibili. Per questo secondo ambito è prevista una attività ispettiva su una ventina di soggetti operanti in questo settore.
Il terzo ambito prevede all’incirca 120 ispezioni relative al controllo sulla liceità e correttezza dei trattamenti di dati personali, con particolare attenzione all’obbligo di informativa, alla pertinenza del trattamento, alla validità e libertà del consenso e alla durata della conservazione dei dati.
È importante che chi appartiene a una di queste categorie si renda parte attiva per implementare un percorso di conformità al GDPR in tempi brevi, in modo da non incorrere nelle pesanti sanzioni previste dal regolamento.
Ricordiamo che:
sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui agli articoli:
• 8 (consenso dei minori),
• 10 (trattamenti che non richiedono l’identificazione degli interessati),
• 23 (privacy by design e privacy by default),
• 24 (cotitolarità del trattamento),
• 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
• 26 (Responsabili del trattamento),
• 27 (istruzioni e autorità del Titolare),
• 28 (documentazione relativa a ciascun trattamento di dati personali),
• 29 (cooperazione con l’autorità di vigilanza),
• 30 (sicurezza del trattamento),
• 31 (notificazione dei data breach all’autorità),
• 32 (comunicazione dei data breach agli interessati),
• 33 (DPIA – Data Protection Impact Assessment),
• 34 (consultazione preventiva dell’autorità di vigilanza),
• 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
• 39 e 39a (processi di certificazione).
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati, trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’autorità di vigilanza.

Per info e assistenza: Studio Giuliano e Di Gravio in partnership with LexCy

Share.

About Author

Rispondi