Articoli

Quanto valgono le violazioni del GDPR?

Avv. Vincenzo Colarocco

Le autorità di controllo europee stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme ai principi di effettività e proporzionalità. A titolo esemplificativo:

 

Autorità Fine () Quoted Art. Summary
Garante privacy francese (CNIL) Euro 50.000.000 nei confronti di  Google Inc. Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 4 nr. 11 GDPR, Art. 5 GDPR Violazione dei principi di trasparenza (Art. 5 GDPR), di informazione (Art. 13 / 14 GDPR) e delle basi giuridiche (Art. 6 GDPR).  (Art. 4 n. 11 GDPR).
Garante privacy italiano Euro 50.000 nei confronti del Movimento 5 Stelle Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti
Garante privacy britannico (ICO) Euro 204.600.000 nei confronti di British Airways Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti

 

Per una visione d’insieme e costantemente aggiornata sulle sanzioni erogate in Europa, basta cliccare qui.

Antiriciclaggio: la V direttiva europea è stata recepita

Avv. Vincenzo Colarocco

Il 3 ottobre u.s. la Presidenza del Consiglio ha approvato lo schema di decreto legislativo attuativo della V direttiva antiriciclaggio n. 2018/843, che recepisce tutte le novità in materia. Il decreto completa un’esperienza segnata anche dalla procedura di infrazione per mancato recepimento della IV direttiva, nonché di plurimi interventi del Garante per la protezione dei dati personali ben riassunti nel parere dello scorso luglio.

Il decreto fa seguito al provvedimento del 30 luglio 2019 della Banca Italia che ha emanato “Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo”. Tra le novità previste dal testo vi è anzitutto l’ampliamento del novero dei destinatari degli obblighi, ad oggi imposti anche ai fornitori di servizi di valuta digitale, di portafoglio digitale, ai galleristi ed alle case d’asta nel caso in cui il valore dell’operazione o di una serie di operazioni legate tra loro sia pari o superiore a 10 mila euro, ricomprendendo, tra l’altro, le succursali “insediate” degli intermediari assicurativi (trattasi delle succursali collocate in Italia di agenti e broker aventi sede legale e amministrazione centrale in un altro Stato membro o in uno Stato terzo). Con il decreto è stato poi tracciato l’obbligo di segnalazione periodica per le transazioni effettuate con soggetti operanti in Paesi ad alto rischio, con la previsione di adozione di misure di adeguata verifica rafforzata. Con riferimento alla valutazione del rischio, il nuovo testo consente di introdurre strumenti che le autorità di vigilanza possono utilizzare per ridurre il rischio connesso ai Paesi terzi, come ad esempio il diniego all’autorizzazione all’attività per intermediari bancari o finanziari esteri o all’apertura di succursali in Paesi ad alto rischio per gli intermediari italiani. Di non poco conto, specie considerato l’attuale scenario della società digitale, il divieto di emissione e utilizzo di prodotti di moneta elettronica anonimi e ciò in coerenza con il vigente divieto di conti e libretti di risparmio in forma anonima o con intestazione fittizia oltre ad un ulteriore intervento sotto il profilo sanzionatorio.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Costituito il nuovo dipartimento Protezione dei dati personali, Compliance e Sicurezza Informatica

Legalcommunity.it – Previti avvia il dipartimento protezione dei dati personali, compliance e sicurezza informatica

Radiocor – Presso lo studio Previti Associazione Professionale nasce il nuovo dipartimento protezione dei dati personali, compliance e sicurezza informatica

Toplegal.it – Previti costituisce il dipartimento di protezione dati

Diritto24 – Studio Previti: costituito il nuovo dipartimento protezione dei dati personali, compliance e sicurezza informatica

Economy Magazine – Studio Previti: costituito il dipartimento protezione dei dati personali

Italia Oggi

Download (PDF, 665KB)