Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Privacy 3.0
1. Privacy 3.0: dalla legge
nr. 675/1996 all'imminente
Regolamento UE
Davide Borelli
2. Regolamento UE in materia di data protection
• Proposta di Regolamento COM(2012)11 concernente la Tutela
delle persone fisiche con riguardo al trattamento dei dati
personali e la libera circolazione di tali dati
La normativa è attualmente ancora in fase di definizione, quindi le informazioni qui presentate vanno
considerate come suscettibili di cambiamenti.
3. Regolamento UE in materia di data protection
Data Protection Officer Sanzioni
4. Il DPO, nominato dal Titolare o dal Responsabile del trattamento,
dovrà:
1. possedere un'adeguata conoscenza della normativa che regolamenta la
gestione dei dati personali nel Paese in cui opera;
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di
interesse nello svolgimento del suo compito di controllo e vigilanza;
3. operare alle dipendenze del Titolare oppure sulla base di un contratto di
servizio.
L’incarico avrà una durata di almeno 2 anni e sarà rinnovabile.
Il Titolare o il Responsabile dovranno mettere a disposizione del DPO
le risorse umane e finanziarie necessarie all’adempimento dei suoi
compiti.
DPO - Requisiti
5. Il DPO dovrà:
a. informare e consigliare il Titolare o il Responsabile in merito agli obblighi derivanti
dal Regolamento UE e conservare la documentazione relativa a tale attività e alle
risposte ricevute;
a. vigilare sull’attuazione e sull’applicazione della privacy policy del Titolare o del
Responsabile, compresi l’attribuzione delle responsabilità, la formazione del
personale che partecipa ai trattamenti e gli audit connessi;
a. verificare l’attuazione e l’applicazione del Regolamento UE, con particolare
riguardo ai requisiti concernenti la protezione della privacy fin dalla sua
progettazione (privacy by design); la protezione di default di dati e sistemi
(privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati
di esercitare i diritti riconosciuti;
a. garantire la conservazione della documentazione relativa ai trattamenti effettuati
dal Titolare;
DPO - Compiti
6. e. controllare che le violazioni dei dati personali siano documentate, notificate e
comunicate;
f. controllare che il Titolare o il Responsabile effettui la valutazione d’impatto sulla
protezione dei dati e richieda l’autorizzazione preventiva o la consultazione
preventiva nei casi previsti;
g. fungere da punto di contatto per il Garante privacy oppure, eventualmente,
consultare il Garante di propria iniziativa;
h. controllare che sia dato seguito alle richieste del Garante e, nell’ambito delle sue
competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.
DPO - Compiti
7. Dovranno designare obbligatoriamente un DPO:
I. amministrazioni ed enti pubblici;
II. imprese con 250 o più dipendenti;
III. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro
natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e
sistematico degli interessati.
Un Titolare o un Responsabile possono comunque designare un
DPO anche in casi diversi da quelli sopra indicati.
DPO - Obbligatorio o facoltativo?
8. Direttiva 95/46/CE
Articolo 24
Sanzioni
1. Gli Stati membri adottano le misure appropriate per garantire la
piena applicazione delle disposizioni della presente direttiva e in
particolare stabiliscono le sanzioni da applicare in caso di
violazione delle disposizioni di attuazione della presente direttiva.
Sanzioni
9. Regolamento UE
Articolo 79
Sanzioni amministrative
1. In caso di prima inosservanza non intenzionale […] può essere
inviato un avvertimento scritto, senza l’imposizione di sanzioni
[…].
segue ...
Sanzioni
10. Negli altri casi … (cfr. commi 2, 3 e 4)
L’Autorità di controllo irroga sanzioni amministrative pecuniarie:
• fino a 250.000 EUR o, per le imprese, fino allo 0,5% del
fatturato mondiale annuo, a chiunque, con dolo o colpa
etc.
• fino a 500.000 EUR o, per le imprese, fino all’1% del
fatturato mondiale annuo, a chiunque, con dolo o colpa
etc.
• fino a 1.000.000 EUR o, per le imprese, fino al 2% del
fatturato mondiale annuo, a chiunque, con dolo o colpa
etc.
Sanzioni