GDPR 2016/679

28/05/2018

Privacy Day Forum: la Guardia di Finanza spiega ispezioni e sanzioni con il GDPR
Flash News Domenica, 27 Maggio 2018 20:14
Privacy, sanzioni e controlli con il GDPR: a spiegare come saranno le nuove ispezioni è stato Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza intervenuto durante il Privacy Day Forum del 25 maggio 2018.

Festeggiare l’entrata in vigore del GDPR, che difende e protegge le persone: è questo l’incipit dell’intervento. Le Fiamme Gialle sono in prima linea nella protezione delle persone anche sotto il profilo della privacy e anche e soprattutto nella tutela dei dati dei cittadini.

Da sempre, Guardia di Finanza e Autorità Garante collaborano tramite attività ispettive e di controllo per la tutela della privacy; il vecchio Codice della Privacy e le sue regole, la “check list” e l’attività di pura compliance saranno totalmente superate con il GDPR a partire dal 25 maggio 2018.

Se prima i controlli sulla privacy si basavano su una serie di domande e su una lista di controlli ai quali, in caso di violazioni, seguivano sanzioni dai 150 ai 300.000 euro, i nuovi controlli della Guardia di Finanza basati sulla riforma della privacy introducono importanti novità.

Sugli obblighi imposti dal GDPR, i controlli della Guardia della Finanza partiranno da subito e in tal senso, sottolinea Menegazzo, è del tutto irrilevante ai fini di accertamento la pubblicazione del decreto di adeguamento che dopo la proroga della delega è stato prorogato fino al 21 agosto 2018.

Partiranno da subito, ad esempio, i controlli sulla nomina del DPO, adempimento iin scadenza il 25 maggio 2018 ma non solo.

Cosa cambia con il GDPR, quali saranno i controlli e come saranno applicate le sanzioni? Ecco l’intervento del Comandante del Nucleo Speciale della Guardia di Finanza durante il Privacy Day Forum organizzato da Federprivacy il 25 maggio 2018.

Privacy: quali controlli e sanzioni con il GDPR? Parla la Guardia di Finanza - In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro). Anche la scelta di non fare una determinata cosa potrà essere legittimata, ma in ogni caso dovrà essere dimostrata. In sede di controllo bisognerà rendere conto alla Guardia di Finanza delle misure messe in atto per il rispetto del GDPR.

Non soltanto bisognerà trattare i dati secondo le regole previste dal GDPR ma bisognerà dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi. I titolari del trattamento dei dati dovranno render conto in maniera responsabile di quanto fatto.

Privacy: controlli e ispezioni della GDF dal 25 maggio 2018 - Il 25 maggio 2018 è ufficialmente non soltanto il giorno della nuova privacy ma anche quello in cui partirà l’attività di controllo della Guardia di Finanza. Nello specifico, le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDPR:

- Nomina del DPO, il responsabile della protezione dati

- Controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito)

- Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

GDPR: il ruolo centrale del DPO nelle attività di controllo - Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.

L’attività ispettiva della Guardia di Finanza sarà varia: o sulla base dei programmi messi a punto dal Garante della Privacy, che di norma dispone due programmi annuali, ovvero potranno esser attuate dopo una segnalazione o un reclamo (fatta da lavoratori, utenti, clienti, sindacati ecc).

L’attività di controllo sarà slegata da una check list ma dovrà esser effettuata una constatazione con l’acquisizione di una serie di elementi.

Sanzioni privacy: dalla GDF solo valutazioni, a scegliere sarà il Garante - Non sarà la Guardia di Finanza ad applicare le sanzioni in caso di violazione delle regole sulla privacy. L’attività ispettiva dovrà essere effettuata di modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR.

Se il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.

Le sanzioni saranno applicate sulla base dei principi stabiliti dal GDPR, in coordinato con lo schema di decreto legislativo approvato in CDM il 21 marzo 2018 per il quale, tuttavia, si attende ancora l’approvazione definitiva.

Per chi volesse mettersi in regola o nominare un DPO ci può contattare:
Tel. 045595521
Cell. 3382126025
Group T.S.I.
Via Dietro Listone 11
37121 Verona (VR)

23/05/2018

LA VOSTRA AZIENDA, ATTIVITA', UFFICIO O NEGOZIO HA PROVVEDUTO ALLA COMPILAZIONE DEL MODULO DA INVIARE AL GARANTE DELLA PRIVACY SUL NOMINATIVO DEL DPO (DATA PROTECTION OFFICER), CIOE' LA PERSONA CHE SI OCCUPERA' DEL RISPETTO DELLA NORMATIVA CHE ENTRA IN VIGORE TRA DUE GIORNI?
SE ANCORA NON SAPETE COSA O COME FARE CONTATTATECI PER UN APPUNTAMENTO AL NUMERO 045595521

18/01/2018

10 luoghi comuni sul Regolamento Generale sulla Protezione dei dati (GDPR)

L’ adeguamento al GDPR ultimamente è accompagnato da una serie di falsi luoghi comuni

L’adeguamento al GDPR è un affare colossale per strutture di consulenza e del settore ICT che non perdono occasione per spaventare i loro potenziali clienti (Attenzione: le sanzioni arrivano fino al 4% del vostro fatturato di gruppo!!”) o per presentarsi come quelli che fanno loro un “favore” aiutandoli a raggiungere la conformità normativa (Scopri come tratte vantaggio dal GDPR!!!!”)
Queste strategie di marketing sono accompagnate da una serie di falsi luoghi comuni sul GDPR che però, in nome della legge Kennedy-Goebbels, sono stati ripetuti tante di quelle volte che oramai nessuno li rimette in discussione.

Vediamone alcuni, espressi nell’onnipresente forma del “decalogo”.

1 – Il GDPR è la legge sulla privacy.
No. La privacy è protetta dall’articolo 8 della Convenzione europea sui diritti umani. Il GDPR tutela il diritto al trattamento dei dati personali che deve essere eseguito anche – ma non solo – nel rispetto della privacy.

Sebbene il Considerando n. 1 dica che
“Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her”;

questo non è vero perchè l’articolo 8 della Convenzione europea sui diritti umani recita testualmente:
“Right to respect for private and family life”
1. Everyone has the right to respect for his private and family life, his home and his correspondence.

In altri termini, l’articolo 8 della Convenzione parla di privacy e non di trattamento di dati personali.

La Corte di giustizia europea ribadisce la differenza nel comunicato stampa 84/2017 a proposito del trasferimento dei dati PNR dall’Unione al Canada:

“Le norme dell’accordo previsto sulla conservazione dei dati, il loro uso e il loro eventuale trasferimento ulteriore ad autorità pubbliche canadesi, europee o estere comportano un’ingerenza nel diritto fondamentale al rispetto della vita privata (enfasi aggiunta). Parimenti, l’accordo previsto comporta un’ingerenza nel diritto fondamentale alla protezione dei dati di carattere personale (enfasi aggiunta)”.

2 – Il diritto alla protezione dei dati personali è un diritto assoluto

1. Il “Considerando” n. 4 dice chiaramente che:
“The right to the protection of personal data is not an absolute right”.

3 – Il GDPR si applica anche alle persone giuridiche

No. Lo dice il titolo stesso del GDPR:
“REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons (enfasi aggiunta)”.

Può esserci, semmai, da affrontare il tema dei dati aziendali dei dipendenti (ruolo, ufficio di appartenenza, informazioni di contatto ecc.) che vengon scambiati “uno a uno” nell’ambito delle normali attività lavorative.

4 – Il GDPR si applica a tutti i trattamenti di dati personali

No. Vale solo per i trattamenti eseguiti con sistemi di archiviazione o destinati ad esserlo. E’ stabilito dal “Considerando” n. 15 secondo il quale:
“The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation2”.

5 – I dati degli interessati possono essere trattati solo con il loro consenso

1.Il consenso è solo uno dei modi con i quali si può ottenere la titolarità del trattamento. L’adempimento a norme di legge, un accordo contrattuale o un legitimate interest del titolare sono casi nei quali si può procedere al trattamento senza il consenso dell’interessato (“Considerando” n. 47).

6 – Il data-breach deve essere sempre comunicato all’Autorità nazionale di protezione dei dati

1.Il “Considerando” n. 85 stabilisce che:
“as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority …, unless the controller is able to demonstrate, …, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons (enfasi aggiunta)”.

7 – Il GDPR si applica a qualsiasi settore

No. Il “Considerando” n. 16 stabilisce che:
“This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union”.

8 – Il GDPR si applica alle attività dell’Autorità giudiziaria penale

No. Il “Considerando” n. 19 lo esclude espressamente:
“The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the ex*****on of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes”.

9 – Il GDPR si applica, oltre che alle indagini, anche ai processi civili, penali e amministrativi

Il “Considerando” n. 20 stabilisce che:
“The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision- making”.

10 – Il termine per adeguarsi al GDPR scade il 25 maggio 2018

Si e no. Formalmente, la data entro la quale completare il processo di adeguamento normativo è effettivamente il 25 maggio 2018, ma aspettiamoci qualche novità.

18/01/2018