privacydi Davide Candia*

Nel corso del 2014 Il Garante della Privacy ha comminato sanzioni amministrative per un importo complessivo pari a 5 milioni. Un importo già riscosso dall’erario in seguito a 385 accertamenti ispettivi che hanno interessato diversi importanti settori dalle pubbliche amministrazioni alle società private, in particolare: laboratori di analisi, società farmaceutiche, app mediche, sistema informativo della fiscalità, gestori dei nodi di interscambio dei dati Internet (Ixp), banche, grandi alberghi, società che gestiscono i sistemi di mobile payment, importanti gruppi di intermediazione immobiliare, i cosiddetti “compro oro”, operatori telefonici e call center.

Tali sanzioni hanno riguardato, in prevalenza, violazioni della privacy per mancata adozione delle misure di sicurezza, omessa o carente informativa, uso illecito di dati personali.

Al contrario, le segnalazioni inviate dal Garante all’autorità giudiziaria hanno avuto principalmente come oggetto la mancata adozione delle misure minime di sicurezza e le violazioni connesse al controllo a distanza dei lavoratori. Segnalati alla magistratura anche casi di accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità.

Le sanzioni amministrative contestate, a seguito degli accertamenti effettuati e di quelli conclusi nel corso del 2014, si riferiscono in prevalenza, a casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione al Garante e agli utenti di violazioni di dati personali (cd. data breach).

Misure minime di sicurezza

Le aziende private e le amministrazioni pubbliche, che effettuano trattamento di dati sensibili o giudiziari, devono adottare le seguenti misure minime di sicurezza:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
    formazione agli incaricati.

Occorre, inoltre, porre attenzione ai seguenti aspetti:

  1. Verifica del rispetto dell’obbligo di informativa agli utenti e della richiesta del consenso nei casi in cui questo è necessario;
  2. Notificazione al Garante nel caso in cui essa sia necessaria;
  3. Gestione dei sistemi di videosorveglianza.

Sanzioni

L’inosservanza delle garanzie suddette, previste dalla nuova norma, comporta l’applicazione di severe sanzioni civili e penali qui di seguito schematizzate:

Inadempimento Sanzione

Omessa o inidonea informativa all’interessato. (Art. 161)

Sanzione pecuniaria amministrativa da 6.000 a 36.000 euro.

Assenza informativa nei casi di dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza del pregiudizio

Sanzione da 50.000 a 300.000 €. (La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore).

Omessa o incompleta notificazione al Garante Privacy. (Art.163)

Sanzione da 10.000 a 60.000 €.

Omessa informazione o esibizione di documenti richiesti dal garante Privacy. (Art.164)

Sanzione da 4.000 a 24.000 €.
Trattamento illecito di dati personali. (Art. 167) Reclusione da 6 a 18 mesi purché vi sia nocumento; trattamento con comunicazione o diffusione del dato: da 6 a 24 mesi.
Falsità nelle dichiarazioni notificazioni al Garante Privacy.(Art. 168) Sanzione penale, reclusione da 6 mesi a 3 anni.
Omessa adozione di misure necessarie alla sicurezza dei dati.(Art. 169) Arresto sino a 2 anni o ammenda da 30.000 a 120.000 euro. È il pagamento in misura ridotta.

 

Come adeguarsi alla normativa?

SDI Soluzioni d’Impresa è tra le società accreditate in grado di realizzare prontamente le attività di consulenza necessarie nel pieno rispetto della normativa.

La consulenza SdI ai estende a diversi ambiti:

INFORMATIVA E CONSENSO
Fornire all’interessato informazioni sull’utilizzo dei suoi dati personali, su alcune caratteristiche del sistema di trattamento dei dati personali proposto da SdI, sulla rete di rapporti in cui SdI è coinvolta.
Acquisire il consenso con i limiti che l’interessato deve poter liberamente porre.

VALUTAZIONE IMPATTO PRIVACY
Attività di analisi volta all’identificazione di idonee e preventive misure per ridurre al minimo i rischi derivanti del trattamento dei dati personali.

PROGETTAZIONE DELLA RELAZIONE SULLA SICUREZZA DEI DATI
Identificazione delle modalità di adozione delle procedure e delle misure minime e idonee necessarie per non incorrere nelle sanzioni penali e difendersi dalle richieste di risarcimento del danno in sede civile.

ADEMPIMENTI SULLA SICUREZZA
Documenti che recepiscono le indicazioni contenute nella Relazione sulla Sicurezza dei Dati, con identificazione dell’organigramma e delle responsabilità interne ed esterne alla struttura (Formalizzazione degli Incaricati del Trattamento, Responsabile del Trattamento, Amministratore di Sistema etc.).

NOTIFICA
Un atto con efficacia giuridica vincolante che riguarda i soggetti rientranti nei casi identificati dall’art.37 del Codice.

REGOLAMENTO RELATIVO AL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI
Un atto dovuto da parte di tutti gli enti pubblici dotati di potestà regolamentare ad efficacia esterna

Cosa fare?

È possibile contattare SdI per pianificare le attività di consulenza necessarie al rispetto della normativa vigente al fine di evitare inadempimenti e conseguenti sanzioni.

Per informazioni

*Davide Candia
Dopo una brillante carriera scolastica ed universitaria, dedicandosi alla vita associazionistica divenendo Presidente dell’AIESEC si specializza sin da subito nella disciplina della tutela del trattamento dei dati e negli anni successivi amplia le sue competenze attivando tecniche di risk management nella gestione della Responsabilità Amministrativa degli Enti, acquisendo il ruolo di Organismo di Vigilanza per importanti aziende private e di rilevanza Pubblica (Partecipate). È iscritto all’Albo dei Dottori Commercialisti ed Esperti Contabili di Palermo e all’Ordine dei Revisori Legali. Contestualmente, consegue la certificazione di Qualità come Professionista. Tra i vari incarichi, è Presidente dell’Organismo di Vigilanza dell’AMAT S.p.A. per la quale funzione si esercita inoltre l’attività di supporto alla Funzione di RPC (Responsabile Prevenzione e Corruzione) e Responsabile della Trasparenza nelle procedure di controllo e implementazione della Legge 190/2012 e del D.lgs 33/2013. Già membro dell’Associazione Italiana Organismi di Vigilanza (AODV 231) con sede in Milano. Ha assunto inoltre l’incarico di delegato provinciale della Regione Sicilia occidentale per conto dell’Associazione Asso 231 con sede in Roma. È socio dell’Associazione Italiana Dottori Commercialisti Sez. di Palermo. Ha ricevuto la nomina in qualità componente della commissione in materia di anticorruzione (legge 190/2012), trasparenza (D.lgs 33/2013), di inconferibilità e incompatibilità di incarico (D.lgs 39/2013), presso l’Ordine dei Dottori Commercialisti di Palermo per la sua concreta applicazione presso l’Ordine medesimo. Ha svolto docenze, formazione e interventi come relatore nelle seguenti materie: anticorruzione, legge sulla trasparenza, responsabilità amministrativa degli Enti, etica e legalità.