Dal 25 maggio 2018 è in vigore in tutti gli Stati membri dell’Unione Europea, il nuovo Regolamento GDPR (General Data Protection Regulation) riguardante la protezione ed il trattamento dei dati personali e la loro libera circolazione.
• La nuova normativa sulla privacy, introdotta dal Regolamento UE 2016/679, ha previsto per gli Stati Membri due anni di tempo (2018) per adeguarsi alle nuove procedure della GDPR, un regolamento che cerca di ragruppare tutte le leggi europee sul trattamento dei dati da parte delle aziende, società , professionisti, enti pubblici e privati ecc in modo che ciascuna persona abbia il controllo sulle proprie informazioni personali.
• Il nuovo regolamento GDPR formato da 99 articoli, prevede diverse novità che vanno dal cd. diritto all’oblio, ossia la possibilità per gli utenti di poter richiedere di rimuovere le informazioni che lo riguardano alla portabilità dei dati, che consente appunto di poter trasferire i dati personali da una piattaforma all’altra, senza vincoli con l’account, dall’obbligo di comunicare eventuali data breach, ossia fughe di informazioni sensibili.
Il regime sanzionatorio è disciplinato dall’articolo 83 del regolamento Ue e prevede pesanti multe in caso di violazioni.
Sanzioni penali con l’entrata del nuovo GDPR:
◦ Trattamento illecito dei dati;
◦ Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
◦ Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
◦ Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
◦ Inosservanza dei provvedimenti del Garante);
le sanzioni pecuniarie amministrative che dovrebbero tenere contro delle necessità delle micro e piccole e medie imprese che operano nell’UE.
Le sanzioni per le violazioni al regolamento GDPR sancite dall’articolo 166 del Codice della Privacy italiano:
1) Privacy sanzioni fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, ad esempio per:
violazioni in termini di:
• informativa da rendere con linguaggio semplificato rilasciata ai minori di 14 anni in occasione dell’offerta diretta di servizi della società dell’informazione,
• sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati;
• sulle cartelle cliniche e ai certificati di assistenza al parto,
• relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico.
• per colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemologica.
2) Privacy sanzioni fino a 20 milioni o, per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, ad esempio per:
• trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
• raccolta del consenso prestato dai minori di 14 anni in occasione dell’offerta diretta di servizi della società dell’informazione;
• trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante;
• procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute;
• trattamenti di dati relativi a condanne penali e reati;
• diritti delle persone decedute;
• diffusione di provvedimenti giudiziari contenenti dati personali;
• trattamento di dati sanitari;
• dati personali degli studenti;
• trattamenti a fini statistici e di ricerca scientifica;
• trattamenti nell’ambito di lavoro;
• assicurazioni;
• servizi di comunicazione elettronica;
• misure di garanzia, delle regole deontologiche;
• trattamenti svolti in ambito giudiziario.
Le sanzioni europee riguardanti la privacy sono le seguenti:
• fino a 10 milioni di euro per i singoli;
• per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
• fino a 20 milioni per i singoli;
• per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le sanzioni per mancato adeguamento della privacy in Italia sono le stesse di quelle applicate al resto d’Europa ma in Italia sono graduate in base a:
• tipo di violazione;
• gravità della violazione:
• durata della violazione.
Le multe in Italia sono equivalenti a quelle applicate in Europa per ogni singolo caso di violazione ma sono effettive, proporzionate e dissuasive.
… e tu? hai controllato il tuo sito internet?
Contattami per una consulena o per adeguare il tuo sito al GDPR! clicca qui