Partono dal primo di settembre i controlli della guardia di Finanza presso le aziende e le Pubbliche Amministrazioni, selezionate in base ai criteri fissati dall’Autorità Garante, per la verifica della conformità e il rispetto delle prescrizioni del Regolamento UE 2016/679 (GDPR). Ecco come si svolgono i controlli e le sanzioni.
Nel secondo semestre 2018 sono ottanta le attività ispettive programmate dall’Ufficio del Garante sulla base del protocollo d’intesa stipulato con la Guardia di Finanza il 10 marzo 2016, che fissa i principi e i criteri alla base dell’attività ispettiva della GdF presso amministrazioni pubbliche e aziende che effettuano il trattamento di dati, o presso le quali occorre effettuare rilevazioni comunque utili al controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni già copiosamente fatti pervenire all’Autorità Garante.
I criteri per svolgere gli accertamenti in aziende e PA
Con deliberazione del 26 luglio 2018 il Garante ha fissato i criteri sulla base dei quali dovranno essere svolti gli accertamenti. Questi saranno fatti in riferimento a profili di interesse generale per categorie di interessati nell’ambito dei trattamenti di dati effettuati da società che gestiscono banche dati di rilevanti dimensioni; trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione; trattamenti di dati personali effettuati da società per attività di telemarketing.
Per quanto riguarda, invece, le Pubbliche Amministrazioni i controlli riguarderanno i soggetti pubblici che trattano dati di privati appartenenti a categorie omogenee sui presupposti di liceità del trattamento e delle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati.
L’Autorità Garante poi si è riservata la facoltà di effettuare controlli senza preavviso per le attività istruttorie di carattere ispettivo d’ufficio presso quelle Pubbliche Amministrazioni per le quali sono state fatte segnalazioni, da parte dei Responsabili alla protezione dei dati. Si pensi, a mero titolo di esempio, alle grandi società che trattando dati per le Pubbliche Amministrazioni in qualità di responsabili esterni al trattamento si siano rifiutate di adempiere ad alcune delle prescrizioni del GDPR in tema di protezione dei dati alle quali invece sono tenute nell’ambito del loro ruolo.
Una sanatoria da 5 milioni di euro
Sulla base dei nuovi controlli una volta individuati i soggetti inadempienti seguiranno le sanzioni amministrative fissate nel GDPR solo nel massimo edittale, ma se da un lato il garante programma nuovi accertamenti e, quindi, nuovo probabile contenzioso, dall’altro è stata prevista la possibilità della definizione agevolata del contenzioso dei procedimenti dei circa 1.200 fascicoli pendenti da definire pagando una somma pari ai due quinti del minimo edittale. Di fatto una sanatoria per evitare la prescrizione e per portare nelle casse del Garante circa 5 milioni di euro, utili per nuove assunzioni ed incarichi per far fronte ai nuovi compiti attribuiti dal GDPR.
Le sanzioni penali
Compiti rispetto ai quali nell’imminenza della pubblicazione delle modifiche al D.lgs. 196/2003, che andranno a completare il quadro della nuova privacy a livello nazionale, le sanzioni amministrative si aggiungono a quelle penali. E’ stato previsto, infatti, che proprio per settembre ci sarà il varo del nuovo testo di legge che inasprisce le sanzioni penali, e così mentre si era pensato ad una sostanziale depenalizzazione la cui interfaccia era rappresentata dal forte inasprimento delle sanzioni amministrative, il decreto di coordinamento recupera le fattispecie del trattamento illecito di dati personali, la comunicazione e la diffusione illecita, l’acquisizione fraudolenta, la falsità di dichiarazioni rese al Garante, l’inosservanza di provvedimenti dell’Autorità, prevedendo pene restrittive della libertà fino a sei anni. Capitolo a parte è poi la responsabilità civile per titolari e i responsabili al trattamento dei dati personali.