Violazioni della privacy ai tempi del GDPR, cosa vuol dire?
- Il GDPR ha portato ad un innalzamento del valore dei dati personali a diritti inviolabili dei cittadini, con proporzionale inasprimento delle sanzioni per violazione della privacy.
- Oggetto della violazione sono i dati personali di una persona fisica. Quindi tutti quei dati che rendono la persona identificata o identificabile.
- Il significato di “trattamento” dei dati ha raggiunto la sua massima estensione, quindi anche le corrispondenti violazioni sono ampliate.
- Il sistema sanzionatorio è uno dei capisaldi del regolamento europeo.
CONTENUTO DELL'ARTICOLO
Cosa s’intende per violazione della privacy?
Si parla di violazione della privacy quando si trattano e si diffondono dati personali senza il consenso dell’interessato al trattamento. La violazione può essere commessa da soggetti che non sono autorizzati a trattare i dati, oppure da soggetti che pur essendo autorizzati al trattamento, non rispondono ai requisiti di compliance previsti dal GDPR, la normativa europea di riferimento per quanto riguarda il trattamento dei dati personali.
Per quanto riguarda la procedibilità, l’istruttoria può essere avviata d’ufficio, come accade in presenza di data breach, oppure su segnalazione dell’interessato al trattamento.
Violazioni della privacy sanzioni
Dalle violazioni privacy derivano responsabilità amministrative, civili e penali. Quindi la violazione della privacy può essere anche un reato.
Violazioni della privacy: sanzioni amministrative e pecuniarie
Le sanzioni amministrative sono quelle previste per la violazione del GDPR.
I soggetti coinvolti nella violazione della privacy sanzioni, possono essere il titolare del trattamento, il responsabile del trattamento, l’organo di certificazione.
L’autorità preposta all’emissione delle sanzioni è il Garante per la Privacy.
Il regolamento europeo suddivide le violazioni della privacy in due categorie:
- la violazione del regolamento di tipo meno grave, prevede un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni relative alle modalità di esecuzione del trattamento dati prescritte dal GDPR. Quindi, ad esempio:
- Manca il registro del trattamento (del titolare o del responsabile del trattamento)
- Non si è provveduto alla nomina del DPO
- Non si è fatta la valutazione d’impatto DPIA
- Omessa notifica di data breach
- Violazione degli obblighi dell’organo di certificazione
- le violazioni della privacy più gravi sono quelle che prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni ai principi generali stabiliti dal GDPR, quindi:
- Manca il consenso al trattamento
- Violazione dei diritti dell’interessato
- Mancanza o inidoneità dell’informativa privacy
- Violazione delle disposizioni circa il trasferimento dei dati a Paesi Terzi
Il GDPR non indica un importo minimo delle sanzioni, ma stabilisce dei criteri per cui la sanzione deve essere effettiva, dissuasiva e proporzionata. Quindi da un lato stabilisce il principio della proporzionalità della pena, e dall’altro puntualizza che la pena non può essere solo simbolica.
Il regolamento stabilisce poi come calcolare l’importo della sanzione, in base a:
- gravità del danno
- dolo o colpa del titolare o del responsabile nel commettere l’infrazione
- misure prese dal titolare o dal responsabile per attenuare il danno agli interessati
- reiterazione dell’illecito
- combinazione di più violazioni
In funzione di questi criteri l’autorità di controllo valuta caso per caso l’importo della sanzione.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Violazioni della privacy: correttivi
Un altro strumento previsto dal GDPR che viene emesso dal Garante per la Privacy, è il correttivo. Questa misura può essere rivolta al titolare e al responsabile del trattamento.
Esempi di correttivi:
- Limitazione, sospensione o blocco dei trattamenti
- Avvertimenti per rischio di violazione delle norme
- Ammonimenti per comportamenti che hanno violato le norme
- Ingiunzioni a rispondere alle richieste dell’interessato
Violazione della privacy e responsabilità civile
Le violazioni della privacy possono comportare anche un danno per l’interessato i cui dati sono stati violati. In questo caso l’interessato può chiedere risarcimento.
I soggetti imputabili sono il titolare e il responsabile del trattamento. Non il DPO perché non ha alcuna responsabilità nei confronti dell’interessato. Il DPO ha responsabilità contrattuali solo verso il titolare del trattamento.
Quali sono i casi in cui si può chiedere il risarcimento del danno per violazione trattamento dati personali?
- Quando la violazione ha portato ad un danno fisico, materiale o immateriale
- Quando ha avuto come conseguenze la discriminazione, o danno all’identità dell’interessato
- Se la violazione ha comportato un pregiudizio alla reputazione
- Oppure se c’è stata la violazione di dati protetti dal segreto professionale
- Se oggetto della violazione sono dati sensibili
Per questo tipo di illecito si applica il principio d’inversione dell’onere della prova: è il titolare del trattamento che deve dimostrare la sua innocenza.
Reato di violazione della privacy
Quando sorge la responsabilità penale connessa alla violazione alla privacy?
Il GDPR rinvia alle normative degli Stati membri circa la configurazione della violazione della privacy come reato. L’Italia ha revisionato lil Codice della Privacy ed ha introdotto, accanto all’art. 167, gli articoli 167-bis e 167-ter. Da una parte illeciti che il GDPR inquadra come amministrativi, per l’Italia costituivano reati, dall’altra parte l’Italia ha introdotto fattispecie di reato nuove che nel complesso vanno ad inasprire il sistema sanzionatorio per violazione privacy.
Le fattispecie che integrano il reato di violazione privacy sono:
- Trattamento illecito dei dati personali; se il trattamento riguarda dati trattati “su larga scala” l’infrazione è più grave
- Falsità nelle dichiarazioni fatte al garante
- Inosservanza delle disposizioni del Garante
- Violazione della riservatezza dei dipendenti da parte del datore di lavoro in due casi particolari:
- utilizzo di strumenti di controllo a distanza quando non ci sono le esigenze produttive o organizzative, o comunque senza le dovute autorizzazioni
- indagini su dipendenti o candidati all’assunzione su fatti non rilevanti ai fini dell’attività lavorativa
Le sanzioni penali devono essere coordinate fra il Pubblico Ministero e il Garante per la privacy.
Ascolta il podcast
Come agire in caso di violazione della privacy?
Il GDPR trova il suo fondamento negli strumenti che vengono riconosciuti all’interessato affinché possa esercitare il suo diritto alla privacy.
L’interessato ha a disposizione 3 strumenti per la denuncia per violazione della privacy da utilizzare presso il Garante per la privacy:
- il ricorso
- il reclamo
- la segnalazione.
Ha poi l’alternativa della giustizia ordinaria. Quello che vuol fare il GDPR è mettere la parte debole, cioè l’interessato, al centro della normativa, fornendogli le massime agevolazioni per tutelare la sua privacy.
Il primo passo che deve fare l’interessato per gestire i consensi è l‘istanza, da presentare al titolare del trattamento. Il documento non richiede l’esercizio di alcuna particolare formalità. Quindi può essere mandato per raccomandata come per posta elettronica. La richiesta può rigurdare uno specifico dato personale, oppure tutti i dati della persona trattati dall’impresa. Il titolare del trattamento ha come termine un mese per rispondere, che può essere prorogato a due mesi se la richiesta è particolarmente complessa
Scaduto il termine, se l’interessato non riceve risposta, oppure non ne è soddisfatto può, in via alternativa, presentare denuncia all’autorità giudiziaria, oppure ricorso al Garante della Privacy.
Vediamo tutti gli strumenti a disposizione dell’interessato al trattamento per violazione della privacy:
Il ricorso per violazione della privacy
Rispetto alla disciplina precedente, il GDPR ha innovato stabilendo che il ricorso è uno strumento gratuito.
Il vantaggio di questa procedura, oltre ad essere gratuita, è il fatto che l’interessato non ha bisogno di farsi rappresentare da un avvocato. Il ricorso infatti può essere presentato dall’interessato stesso.
Altro punto a favore del reclamo è la velocità della procedura: il Garante è tenuto a rispondere entro 60 giorni.
Vale qui il principio del silezio-rigetto.
Se il ricorso viene accolto, il Garante può ordinare la sospensione, il blocco o la cancellazione dei dati da parte del titolare del trattamento. E ovviamente può imporre al titolare la cessazione del comportamento illegitiimo.
Il ricorso si può presentare solo in due casi:
- Il titolare non ha risposto all’istanza
- La risposta all’istanza non è soddisfacente
La denuncia per violazione privacy
Bisogna ricorrere alla denuncia per via ordinaria se si ha intenzione di chiedere il risarcimento del danno. È necessario essere rappresentati da un avvocato difensore abilitato.
Se il ricorso è contro la decisione del garante, deve essere presentato entro 30 giorni dalla comunicazione.
I tempi sono quelli della giustizia ordinaria e la sentenza non è appellabile.
Per quanto riguarda le responsabilità, il titolare è tenuto al risarcimento del danno se è coinvolto nel trattamento che, violando il GDPR, ha causato il danno. Il responsabile risponde solo se non ha adempiuto agli obblighi previsti dal GDPR, oppure ha agito in maniera difforme rispetto alle istruzioni che gli ha fornito il responsabile del trattament
Gli altri strumenti a disposizione dell’interessato: il reclamo e la segnalazione
Con questi strumenti si accede alla tutela amministrativa. Il reclamo è un atto circostanziato. Anche il reclamo con il regolamento europeo è diventato gratuito.
Il GDPR richiede la presenza di un contenuto minimo:
- la descrizione più possibile dettagliata dei fatti
- i dati del titolare del trattamento
- la documentazione che dimostra i fatti
- il mandato al difensore o all’associazione che assiste l’interessato, se non agisce lui direttamente
In ogni caso si può trovare un modello precompilato sul sito del garante, affinché anche i privati possano da soli attivare la procedura.
I tempi di risposta del Garante possono arrivare fino a nove mesi prorogabile fino a dodici.
Si ricorre alla segnalazione se mancano i requisiti per poter fare un reclamo. Ad esempio non ci sono prove sufficienti per dimostrare l’illegittimità del comportamento. Questo strumento serve a sollecitare un controllo da parte del Garante che non necessariamente sfocerà in un provvedimento.
Violazioni della privacy per data breach
Il data breach si verifica quando c’è una violazione accidentale dei dati personali degli interessati. I casi sono:
- abuso
- perdita
- furto
- distruzione
- diffusione indebita
Il GDPR prevede che il titolare metta in atto una procedura da attivare immediatamente: prima di tutto deve registrare la violazione sul registro per il trattamento. Stessa cosa deve fare il responsabile del trattamento, ma in più il responsabile ha l’obbligo di notifica al titolare. Dopo di che il titolare deve fare una valutazione circa il pericolo che corre la privacy dell’interessato.Se c’è grave pericolo per la libertà e i diritti dell’interessato sorge l‘obbligo di notifica all’interessato stesso, da effettuare entro 72 ore dalla violazione. Il GDPR puntualizza che nella comunicazione si deve utilizzare un linguaggio semplice.
Il titolare è dispensato dall’obbligo di notifica in tre casi:
- la comunicazione richiede sforzi troppo gravosi
- ha già preso le misure di sicurezza adeguate
- aveva utilizzato misure tecniche che non consentono il riconoscimento dei dati
Il titolare ha l’obbligo di notifica al Garante della Privacy entro 72 ore dal data breach se la violazione rappresenta un grave rischio per i diritti e le libertà dell’interessato.
La comunicazione al garante deve contenere come minimo queste informazioni:
- natura della violazione
- l’ammontare del numero delle persone interessate
- possibili conseguenze della violazione
- misure adottate
- dati di contatto del DPO se presente
Quali sono le violazioni che può commettere il titolare in caso di data breach?
- Dalle indagini può emergere che il titolare non è stato “accountable” nel proteggere i dati dell’interessato. Quindi può essere accusato di negligenza.
- Può non aver rispettato i requisiti di procedura del data breach in merito ai contenuti delle comunicazioni
- Può risultare che non abbia fatto una corretta valutazione dei rischi, omettendo le notifiche all’interessato o al Garante
- Le misure di sicurezza messe in atto possono non risultare adeguate in base alla valutazione del Garante.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
Sanzioni per violazione dei dati: alcuni casi
Da due anni è entrato in vigore il GDPR e si iniziano a vedere i primi esiti dei controlli effettuati dai garanti negli Stati membri.
Sono stati multati colossi del web e grandi aziende, e le sanzioni hanno puntato verso gli importi massimi erogabili.
Alcuni esempi:
Multa ad un’azienda ospedaliera per violazione dei dati sanitari
I dati sanitari sono dati particolari, e come tali godono di una tutela alla riservatezza molto forte.
L’azienda ospedaliera è stata sanzionata per un importo di 30mila euro perché alcuni dipendenti avevano visto i dati sanitari dei colleghi. La violazione era stata causata dal comportamento negligente di un medico che aveva lasciato incostudita la postazione di lavoro e i dipendenti hanno utilizzato le sue credenziali per spiare i dossier sanitari degli altri impiegati. La denuncia è stata fatta dalla stessa azienda ospedaliera.
La violazione è relativa al trattamento illecito dei dati, dovuto alla mancanza di idoneità delle misure adottate dall’impresa per conservare i dati dei pazienti, inidonee a garantirne la protezione.
Sanzione alla piattaforma Rousseau
L’associazione era già sotto osservazione del Garante che aveva comminato una sanzione con il precedente codice privacy, per mancanza di livelli adeguati di sicurezza nella conservazione dei dati.
La multa di importo di 50mila euro è arrivata di nuovo nel 2019. Anche se si è innalzato il livello di sicurezza dei trattamenti rispetto alla volta precedente, tuttavia il sistema presenta ancora notevoli falle:
- la mancanza del tracciamento completo degli accessi al database, non permette al titolare di verificare la liceità dei trattamenti
- la condivisione delle credenziali di autenticazione da parte di più incaricati non permette di verificare che ognuno tratti i dati nei limiti dell’autorizzazione concessa dal titolare
Multa all’ENI
Sanzione inflitta dal garante per due violazioni:
- Trattamenti illeciti nelle attività di telemarketing
- Violazioni nell’attività di attivazione di contratti per via telefonica
Le infrazioni riguardano:
- la mancanza del il consenso o addirittura il diniego del consenso all’attività di telemarketing
- la mancata attivazione della procedura di verifica al Registro pubblico delle opposizioni
- Tempi di conservazione dei dati oltre il limite del raggiungimento delle finalità per cui erano stati richiesti
- Acquisizione di nuovi clienti attraverso agenzie operanti per suo conto con procedure non conformi al GDPR
Queste infrazioni sono costate al colosso del gas 11milioni di euro
Conclusioni violazioni GDPR
Sebbene il GDPR basi la sua effettività su un sistema sanzionatorio innovativo rispetto alla normativa precedente, lascia però aperti molti interrogativi.
Prima di tutto cosa si intende come “gruppo” quando ci si riferisce all’impresa?
Poi come vengono notificate e riscosse le sanzioni irrogate a multinazionali o che hanno sede fuori dall’UE.
Infine è vero che nell’applicare le sanzioni sono definiti dei criteri, gravità della violazione, durata della violazione, colpevolezza, sono alcuni. Tuttavia è lasciato uno spazio interpretativo molto ampio, forse troppo, all’autorità di controllo che deve comminare la sanzione.
Il nostro studio legale Legal for Digital specializzato in adeguamento al GDPR, si preoccupa di aggiornarsi continuamente sulle interpretazioni della normativa, trasferendo le relative informazioni ai clienti che si affidano a noi.