Articoli

L’Italia in pole position per le sanzioni GDPR del 2019

Avv. Vincenzo Colarocco

L’inizio dell’anno è per antonomasia tempo di bilanci e così è stato anche per l’Osservatorio di Federprivacy che ha condotto uno studio mirato ad analizzare le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo. Più in particolare sono state computate le sanzioni inflitte nel corso dell’anno spirato da parte delle autorità di controllo. Dell’ammontare complessivo di 410 milioni di euro, il primato è detenuto dall’Italia, con 30 provvedimenti irrogati, per un totale di 4.341.990 euro. Sebbene il susseguirsi delle proroghe non abbia concesso al collegio del Garante di rinnovarsi alla scadenza del suo incarico, ciò non ha impedito all’Authority in carica di svolgere regolarmente le proprie attività ispettive, le quali già alla fine del primo semestre del 2019 avevano individuato 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro al termine dei singoli procedimenti sanzionatori. Tra le infrazioni ricorrenti, nel 44% dei casi si è trattato di trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, il 13% è costituito dal  mancato rispetto dei diritti degli interessati ed il 9% rispettivamente dalla omessa o inidonea informativa (9%) e dagli incidenti informatici e “data breach”. Subito dopo l’Italia, l’autorità spagnola (AEPD) con 28 sanzioni e al terzo posto quella romena (ANSPDCP) con 20 sanzioni comminate. Per quanto concerne il quantum delle sanzioni, l’’autorità più severa in assoluto è risultata quella del Regno Unito (ICO), che ha erogato multe per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame. All’altro estremo si collocano le autorità di controllo di Irlanda e Lussemburgo, che non hanno ancora irrogato alcuna sanzione: sarà un caso che le multinazionali straniere che trattano dati personali su larga scala scelgano proprio questi Paesi per nominare il proprio rappresentante stabilito in Europa?

Quanto valgono le violazioni del GDPR?

Avv. Vincenzo Colarocco

Le autorità di controllo europee stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme ai principi di effettività e proporzionalità. A titolo esemplificativo:

 

Autorità Fine () Quoted Art. Summary
Garante privacy francese (CNIL) Euro 50.000.000 nei confronti di  Google Inc. Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 4 nr. 11 GDPR, Art. 5 GDPR Violazione dei principi di trasparenza (Art. 5 GDPR), di informazione (Art. 13 / 14 GDPR) e delle basi giuridiche (Art. 6 GDPR).  (Art. 4 n. 11 GDPR).
Garante privacy italiano Euro 50.000 nei confronti del Movimento 5 Stelle Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti
Garante privacy britannico (ICO) Euro 204.600.000 nei confronti di British Airways Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti

 

Per una visione d’insieme e costantemente aggiornata sulle sanzioni erogate in Europa, basta cliccare qui.

Titolare o responsabile? Questo è il dilemma

Avv. Vincenzo Colarocco

Il 7 novembre scorso i Garanti Europei hanno pubblicato le Linee Guida sul concetto di titolare e responsabile in relazione al trattamento dei dati personali da parte delle istituzioni. Ciò conferma come la tematica sia sempre più dibattuta tanto che anche il Garante della protezione dei dati personali con parere pubblicato il 21 ottobre 2019 è intervenuto sul tema.

In particolare l’Autorità ha preliminarmente chiarito che “la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità”, ricordando che sul punto il GDPR non ha apportato novità rilevanti rispetto alla pregressa disciplina, richiamando anche l’applicabilità dell’Opinion 1/10 del WP29.

Ed infatti ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, avendo cura di considerare sia la determinazione delle finalità sia la normativa codicistica ove applicabile.

Nel caso sottoposto al Garante lo stesso ha chiarito, senza esitazioni, che “l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo

L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.

Dunque, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento, così come peraltro già evidenziato dal provvedimento del 26 aprile 2007 – c.d. catena assicurativa.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.