GARANTE EUROPEO DELLA PROTEZIONE DEI DATI: PRIMO REPORT ANNUALE DALL’INTRODUZIONE DEL GDPR
Dal sito ufficiale del EUROPEAN DATA PROTECTION SUPERVISOR
Il 2018 è stato un anno intenso per EDPS e un anno cruciale per la protezione dei dati in generale. In base alle nuove norme sulla protezione dei dati , i diritti di ogni individuo che vive nell’UE sono ora protetti meglio che mai, ha affermato oggi il garante europeo della protezione dei dati (GEPD), presentando la sua relazione annuale 2018 alla commissione per le libertà civili, la giustizia del Parlamento europeo e affari interni (LIBE).
Giovanni Buttarelli, EDPS , ha dichiarato: ” La protezione dei dati ha toccato i titoli nel 2018. La consapevolezza pubblica sul valore della privacy online è sempre al massimo, mentre la preoccupazione per l’ abuso di dati personali da parte dei fornitori di servizi online rimane un argomento di indagine per i governi Intorno al mondo. Nell’UE, le nuove norme sulla protezione dei dati sono molto importanti per affrontare le preoccupazioni, ma ne è necessario altro. L’accordo su un nuovo regolamento e-privacyè urgente, ma nel mondo digitale dobbiamo anche guardare oltre le regole e i regolamenti. Attraverso iniziative incentrate sull’etica digitale e una maggiore cooperazione normativail EDPS è determinato a svolgere un ruolo decisivo nel plasmare il futuro digitale nell’UE e altrove. ”
La relazione annuale 2018 fornisce una panoramica di tutte le attività del GEPD nel 2018. Tra questi, i principali sono stati i nostri sforzi per preparare la nuova legislazione. Il regolamento generale sulla protezione dei dati (GDPR) è diventato pienamente applicabile in tutta l’UE il 25 maggio 2018 e ora sono in vigore anche nuove norme sulla protezione dei dati per le istituzioni dell’UE . Lavorando con il nuovo Consiglio europeo per la protezione dei dati (EDPB), il EDPS mira a garantire una protezione coerente dei diritti delle persone, ovunque vivano nell’UE.
GDPR: attenti a… quei tre (articoli)!
D: “Hai predisposto il registro dei trattamenti?”
R: “Sì certo, non ho avuto particolari difficoltà; su internet si trovano, facilmente, alcun facsimile… basta scaricarli, confrontarli, adattarli alla meno peggio al tipo di attività e il gioco è fatto! In fin dei conti, facevo così anche per il documento programmatico sulla sicurezza, fino a quando era prevista la sua obbligatorietà. Tanto, i controlli non ci saranno e, se ci saranno, perché dovrebbero controllare proprio me e, anche se dovessero venire da me, non avrei comunque problemi: ho l’informativa, il registro dei trattamenti ed ho fatto aggiornare antivirus e firewall al portatile che porto sempre con me, per cui non ho neanche bisogno di fare il backup; ho sentito ad un convegno che non ho bisogno di altro per essere in regola con il GDPR”.
Sono consapevole del fatto che pochi crederanno che il dialogo sopra trascritto sia effettivamente intercorso tra chi scrive e una persona (professionista? Imprenditore?) del quale, ovviamente, non posso fare il nome, ma chi, come me, si occupa di protezione dei dati in maniera consapevole e professionale, credo abbia modo di identificarsi nel mio stato d’animo e di provare, da una parte, la stessa sensazione di stupore da me percepita e, dall’altra, di giungere alla medesima conclusione: neanche il GDPR sarà in grado aumentare il livello di responsabilizzazione di coloro che trattano i dati delle persone fisiche nell’espletamento dell’attività professionale o imprenditoriale!
Nel premettere che, di quanto contenuto nel dialogo, diverse, in negativo, sono le riflessioni da fare e altrettanto palesi sono le inesattezze e quindi le violazioni delle più comuni e elementari regole del GDPR e di accountability, credo sia opportuno mettere in evidenza soprattutto i rischi che potrebbero derivare non solo dalla mancanza del registro dei trattamenti ma, pur in sua presenza, di una sua tenuta non corretta, e ciò in relazione alle informazioni in esso contenute.
Mi spiego meglio.
In caso di violazione degli obblighi imposti dall’articolo 30 GDPR da parte del titolare del trattamento o del responsabile del trattamento è prevista la sanzione pecuniaria fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, lettera a) GDPR).
L’articolo 166, comma 3, del D.Lgs. 196/2003 (come integrato con le modifiche introdotte dal D. Lgs. 101/2018) dispone che l’organo competente ad irrogare le sanzioni sopra citate è il Garante per la protezione dei dati personali il quale, nello svolgimento di tale funzione dovrà avere cura di valutare, caso per caso, le violazioni, affinché le sanzioni siano effettive, proporzionate e dissuasive come disposto dall’art. 83, par. 1, GDPR, tenendo in considerazione le circostanze di cui all’art. 83, par. 2, GDPR, ossia la natura, l’oggetto o la finalità del trattamento, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, e altro.
In applicazione di tale norma, il Garante dovrà quindi trovare la sanzione più idonea affinché la stessa da una parte sia proporzionata alla violazione e, dall’altra in grado di dissuadere il suo autore dal ripetere quel comportamento (anche omissivo).
Ma, per ipotesi di scuola, immaginiamo che nel registro dei trattamenti siano contenuti riferimenti, notizie o circostanze non veritiere e quindi contrastanti con l’effettiva e reale situazione presente nella struttura nella quale opera il titolare del trattamento o il responsabile del trattamento e avviene, quindi, il trattamento dei dati; in tale ipotesi, la violazione degli obblighi imposti dall’articolo 30 GDPR, oltre a configurare le conseguenze dettate dall’art. 83, par. 4, lettera a), GDPR) sarebbe altresì idonea a configurare, in capo al titolare del trattamento o al responsabile del trattamento, la violazione e le conseguenze previste dall’art. 168 comma 1 del D.Lgs. 196/2003? Prima di rispondere al quesito, è opportuno analizzare la norma appena citata.
Decreto Legislativo 196/2003
Art. 168
Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
Dalla lettura della norma, appare evidente come la risposta alla domanda sopra formulata non possa che essere positiva, posto che il registro dei trattamenti deve contenere una serie di dati, indicazioni, notizie e circostanze che hanno la duplice funzione di rappresentare e dare conto, da una parte, di quel processo di mappatura che il titolare del trattamento e il responsabile del trattamento devono espletare per verificare e identificare e censire la tipologia specifica dei dati trattati e, dall’altra, nel rispetto del concetto di privacy by design e di accountability, creare la documentazione necessaria come richiesta dal GDPR e, soprattutto ma non solo, riportare, per ogni specifica categoria di dati trattati, le misure di sicurezza applicate per la protezione dei dati.
Attenzione quindi perché se è vero che:
1) quanto alle sanzioni amministrative, l’articolo 22, comma 13 del D.Lgs. 101/2018 prevede che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie (termine che andrà ad esaurirsi nella seconda decade del mese di maggio 2019), è altrettanto vero che
2) quanto alle violazioni penali eventualmente riscontrate, comprese quelle conseguenti al verificarsi della fattispecie prevista dall’art. 168, comma 1, D.Lgs. 196/2003 non esiste norma che possa attenuarne o affievolirne gli effetti.
In conclusione, si invitano i destinatari del GDPR a fare attenzione, tra le altre, alle norme previste dall’art. 30 GDPR, dall’art. 22, comma 13, D. Lgs. 101/2018 e dall’art. 168 D.Lgs. 196/2003.
(articolo realizzato dal Team IUSTEC)