Blog Image

EPICANEWS

BLOG INFORMATIVO DELLO STUDIO EPICA

Aggiornamenti e notizie in materia aziendale, fiscale, contrattuale e societaria

Le nuove sanzioni in materia di privacy ai sensi del GDPR.

NEWS Posted on Thu, April 26, 2018 08:59:06

POST 357

Il Regolamento EU
679/2016 introduce sanzioni amministrative pecuniarie con massimi edittali
molto elevati.

Le sanzioni che devono
essere effettive, proporzionate e dissuasive possono arrivare fino a 10 milioni di Euro per le
persone fisiche e al 2% del fatturato
mondiale totale annuo
dell’esercizio precedente per le imprese (le
sanzioni vengono applicate all’intero gruppo anche se il titolare del
trattamento è una società dello stesso e non la holding) in caso di:


violazione degli obblighi
del titolare e/o responsabile inclusi quelli in tema di notifica del Data
breach e di implementazione delle misure di sicurezza;


mancata individuazione
formale di ruoli e responsabilità nel trattamento dei dati personali


mancata definizione delle
reciproche responsabilità tra co-Titolari o tra Titolare/Responsabile o mancata
designazione del Rappresentante del Titolare nello Stato;


omesse istruzioni agli
incaricati del trattamento;


omessa gestione del
registro dei trattamenti;


omessa nomina del Dpo,
quando prescritto, o violazione delle regole ad esso relative;


omesse misure di
sicurezza adeguate;


omesse misure by design e by default;


violazioni delle regole
sulle certificazioni;


violazioni delle regole sull’organo
di certificazione.

Le sanzioni possono
arrivare fino a 20 milioni di Euro
per le persone fisiche e al 4% del
fatturato mondiale
totale annuo dell’esercizio precedente per le
imprese in caso di:


violazione degli obblighi
e delle regole sul consenso;


violazione dei principi
sul data protection;


omesso consenso, quando
richiesto;


omessa Vip quando
richiesta;


violazione dei diritti
degli interessati;


violazione delle regole
sui trasferimenti extra-UE;


violazioni degli obblighi
posti dagli Stati Membri;


violazione delle
prescrizioni dell’Autorità.

Tommaso Talluto
Avvocato – Studio EPICA – Treviso



Il responsabile della protezione dei dati personali.

NEWS Posted on Thu, April 26, 2018 08:57:36

POST 356

L’articolo 37 del
Regolamento UE 679/2016 (GDPR) individua e disciplina la figura del
responsabile della protezione dei dati personali (RDP o DPO) definendolo come
il soggetto responsabile dell’applicazione e del rispetto della normativa
privacy all’interno delle strutture dei titolari e dei responsabili del
trattamento.

Il Dpo:

·
è preposto
all’osservanza, alla valutazione e all’organizzazione dei trattamenti in modo
tale che siano conformi al GDPR;

·
è dotato di autonomia
finanziaria e di risorse economiche;

·
riferisce direttamente al
consiglio di amministrazione ma è da questo indipendente;

·
raccoglie informazioni
sui trattamenti svolti, li analizza e ne verifica la conformità al Gdpr;

·
sensibilizza e forma il
personale del titolare o del responsabile sulla norma privacy;

·
deve avere competenze e
conoscenze informatiche e giuridiche e deve osservare elevati standard
deontologici.

La nomina del Dpo è
obbligatoria solamente se:

– il trattamento è
effettuato da una pubblica amministrazione,

– il core business del titolare o del
responsabile è il monitoraggio regolare e sistematico degli interessati su
larga scala,

– il core business del
titolare o del responsabile consiste nel trattamento su larga scala di dati
sensibili/giudiziari.

Il Dpo può essere sia
intero all’organizzazione del titolare o del responsabile sia esterno e può
essere nominato anche per più società facenti parti del medesimo gruppo.

La nomina del Dpo anche
se non obbligatoria appare comunque opportuna al fine di dimostrare la compliance al GDPR.

Tommaso Talluto
Avvocato – Studio EPICA – Treviso