Il GDPR e gli enti del terzo settore Parte III

Autore: Marco del Fungo

Misure Tecniche ed organizzative adeguate

Il nuovo regolamento Europeo lascia ampi margini di azione a chi detiene la Responsabilità del trattamento. La protezione delle informazioni e dei loro trattamenti è basata su un approccio “Risk based“, concetto per il quale tutte le misure tecniche o organizzative di sicurezza devono essere adeguate al rischio riscontrato ed analizzato presso il titolare del trattamento.

È questo il nuovo approccio europeo: da un lato lascia ampio raggio di libertà nell’applicare le misure di sicurezza, dall’altro impone, ad ogni singola realtà aziendale, pubblica e privata, di qualsiasi dimensione, di prevedere un’attenta analisi del rischio, così da poter adeguare le scelte operative e gestionali a tutela del dato.

A comandare questo processo è il principio dell’“accountability” secondo il quale il titolare del trattamento è tenuto a mettere in atto tutto ciò che ritiene necessario per poter garantire e dimostrare la conformità delle attività di trattamento con il regolamento stesso, compresa l’efficacia delle misure.

Il Codice Privacy esplicitava, in maniera dettagliata, nel suo più importante allegato (allegato B), quali dovessero essere le misure tecniche da adottare sia a livello informatico che non, per potersi ritenere a norma.

Tutte le misure adottate dovevano essere aggiornate periodicamente per adeguarle alle nuove esigenze organizzative o a un mutato livello di rischio.

L’approccio del nuovo regolamento risulta essere molto più astratto e come anticipato, lascia libertà di adeguamento allo stesso titolare, che dovrà garantire un “adeguato” livello di sicurezza dei dati oggetto di trattamento, e dimostrare che lo stesso trattamento avvenga in conformità del regolamento europeo. L’articolo 24 (XXII)del GDPR prevede che:

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Nell’articolo successivo del nuovo regolamento, si introducono delle nuove tecniche di sicurezza che non troviamo nella nostra attuale normativa, e cioè pseudonimizzazione e minimizzazione. La pseudonimizzazione o semplicemente cifratura, consiste nell’utilizzare una chiave di cifratura per rendere illegibili i dati da parte di utenti malintenzionati.

Va chiarito però che la necessità di cifratura dei dati deve essere commisurata all’analisi effettuata sul rischio reale del trattamento la normativa europea sottolinea, soprattutto nei considerando (75) (XXIII), come debbano essere i progettisti di applicativi concernenti il trattamento dei dati, a mettere a disposizione, del titolare del trattamento, strumenti adeguati di cifratura. Ed è così che la scelta effettuata dagli stessi Titolari cadrà obbligatoriamente sui brand che utilizzano un occhio di riguardo nello sviluppo di procedure cifrate.

La richiesta normativa ha quindi un duplice scopo: da un lato contribuisce a sensibilizzare i titolari sull’argomento, dall’altro favorisce, nello sviluppo tecnologico, il miglioramento delle tecniche di sicurezza informatiche applicate nelle varie procedure.

Il GDPR non prevede che le misure di sicurezza siano definite dalla legge o da un documento tecnico, ma assegna al Titolare la totale responsabilità di individuare tutte le MISURE TECNICHE E ORGANIZZATIVE ADEGUATE alla propria attività, tenendo conto:

– dello stato dell’arte e dei costi di attuazione;

– della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento
– dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
e ciò al fine:

– “di garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente” al GDPR”;

– “di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”;

– di assicurare “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”;

– di assicurare “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Tale RESPONSABILIZZAZIONE o RENDICONTAZIONE (“ACCOUNTABILITY”, termine usuale per il non profit) implica quindi:

– l’adozione e il costante aggiornamento di prassi, procedimenti, strumenti tecnici e informatici specifici e prestabiliti, e cioè previsti e posti in essere prima dell’attività di trattamento (cd. PRIVACY BY DESIGN);

– che tali accorgimenti siano introdotti quale “impostazione predefinita” del sistema, tale che un trattamento non conforme sia rifiutato dal sistema (cd. PRIVACY BY DEFAULT);

– la redazione e conservazione di idonea DOCUMENTAZIONE (es. linee guida o regolamenti interni, contratti scritti di incarico con la ditta di software, istruzioni operative, ordini di servizio, ecc.) che valga a dimostrare verso l’esterno di aver approntato tali misure.

A titolo esemplificativo le MISURE ADEGUATE possono essere individuate come segue:

innanzitutto, non c’è dubbio che qualsivoglia trattamento informatico di dati non possa ormai prescindere dall’adozione delle vecchie “misure minime”, e cioè dalla predisposizione:

– di un sistema di AUTENTICAZIONE INFORMATICA (A.1.), di AUTORIZZAZIONE (A.2.) e di PROTEZIONE (A.3.) del sistema informatico da virus e accessi indesiderati, al fine di “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”
– un sistema di conservazione dei dati attraverso COPIE DI SICUREZZA, per poter “ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

A.1 Autenticazione informatica

Un sistema di autenticazione informatica consiste essenzialmente nell’attribuzione al soggetto o ai soggetti che all’interno dell’associazione gestiscono i dati mediante computer (Incaricati/autorizzati) delle cd. credenziali di autenticazione, ovvero di un codice o di un dispositivo di identificazione personale o USER-NAME e di una parola chiave o PASSWORD, in modo che solo questi soggetti e non altri estranei possano accedere ai computer e gestire i dati secondo i loro compiti e l’ambito a loro attribuito.

I codici di identificazione più semplici sono quelli basati sul sistema username e password; i più sicuri sono invece quelli che sfruttano le caratteristiche biomediche (voce o impronta del pollice).

L’username non può essere assegnato a diversi incaricati/autorizzati, nemmeno in tempi differenti.
Quanto alle password, generalmente sono determinate pensando alla data di nascita, ai familiari, a parole di senso comune. Tuttavia, queste password non sono sicure, perché facilmente decifrabili.

Valgono tuttora per le password le indicazioni del vecchio Disciplinare Tecnico, opportunamente integrate, e quindi è assai consigliato:

– che la password sia di almeno 8 caratteri (oppure del numero di caratteri massimo consentito dallo strumento elettronico), e non contenga elementi facilmente ricollegabili alla persona del suo utilizzatore/incaricato;

– che sia composta da numeri e lettere insieme (maiuscole, minuscole) e da simboli;

– che sia conosciuta solamente dall’incaricato e quindi memorizzata dall’incaricato/utilizzatore del computer o conservata in modo da impedire la conoscenza di estranei (es. busta chiusa in un cassetto chiuso, oppure conservata da una sola persona con opportune cautele);

– che sia personale e assegnata a più incaricati/autorizzati (non sono quindi ammesse password di gruppo);

– che sia sostituita/modificata dall’incaricato al primo utilizzo [nei sistemi informatici complessi] e, successivamente, almeno ogni sei mesi;

– che sia disattivato l’accesso dell’utente quando il possessore delle credenziali cessa dalla qualità di incaricato (es. ex dipendente o ex socio) o quando l’accesso non è più effettuato per un certo periodo (es. maternità o malattia di una dipendente, infortunio).

L’individuazione iniziale delle password e degli username è generalmente svolta da un soggetto esterno esperto informatico (il vecchio “AMMINISTRATORE DI SISTEMA”). Questa figura non è stata più riproposta nell’attuale Codice italiano (e nemmeno nel GDPR).

Ciò non toglie che, nei fatti, ci possa essere e anzi sia altamente consigliabile la nomina ed il suo intervento: si tratta infatti del tecnico o della ditta che adatta il sistema informatico alle esigenze del Titolare, suggerendo le MISURE ADEGUATE in relazione ai trattamenti (informatici) svolti dall’Associazione.

A.2. Autorizzazione informatica

Un sistema di autorizzazione informatica si ha quando il sistema informatico predisposto dal Titolare distingue due o più “profili”, ovvero due o più ambiti diversi in cui si svolgono i trattamenti elettronici di dati all’interno dell’associazione, qualora il Titolare decida che uno o alcuni Incaricati/autorizzati possano svolgere solo determinati trattamenti e quindi possano accedere solo ad alcuni ambiti o programmi o banche dati, secondo il proprio “profilo”.

I profili possono riguardare ciascun incaricato/autorizzato ma anche “classi omogenee” di incaricati/autorizzati, e devono essere individuati prima del trattamento.

La predisposizione di un sistema di autorizzazione è necessaria solo se ci sono più “profili”: il titolare infatti può anche decidere che tutti gli incaricati/autorizzati accedano a tutti gli ambiti del trattamento che si svolge nella sua struttura (cioè a tutte le banche dati o a tutti i programmi): in questo caso non sarà necessario un “sistema” perché il profilo di autorizzazione sarà unico (uno stesso profilo per tutti gli incaricati/autorizzati).

A.3 Protezione informatica

Un sistema di protezione informatica serve ad evitare o limitare l’attacco di virus o le intrusioni indesiderate ed in genere l’attacco di “programmi pericolosi”.

Se il computer o la “rete” di computer dall’associazione viene collegata a internet o ha un programma di posta elettronica e contiene altresì dati personali (e magari anche sensibili), le misure da adottare dovranno essere più incisive.

Gli accorgimenti più importanti sono qui di seguito riassunti:

– un valido e aggiornato ANTIVIRUS;

– un FIREWALL (in inglese “porta antifuoco”), che consente di bloccare le intrusioni dall’esterno da parte di hacker o di software dannosi che utilizzano accessi particolari per recare danno ai computer o controllare ed estrarre le informazioni (spesso il FIREWALL è integrato nel ROUTER messo a disposizione dal provider di internet);

– l’AGGIORNAMENTO periodico dei programmi e sistemi operativi, volti a prevenirne la vulnerabilità e a correggerne i difetti, o la SOSTITUZIONE dei programmi operativi desueti;

– il salvataggio dei dati mediante COPIE DI SICUREZZA o BACKUP, e cioè nella loro memorizzazione in banche dati portabili, chiavette USB, dischetti o supporti rimovibili, da conservarsi in un luogo diverso da quello dove si trovano i computer che contengono i dati originali (per evitare, ad esempio, che un incendio possa distruggere entrambi). Si consiglia almeno di formare delle copie di backup contenenti le banche dati (es. dei soci) e i documenti principali (es. verbali di assemblea).

– DISTRUGGERE I SUPPORTI ESTERNI quando non sono più utilizzati o cancellarne definitivamente il contenuto quando sono utilizzati da altri soggetti.

il GDPR precisa poi che un elemento per dimostrare l’avvenuta adozione delle misure adeguate consiste nell’adesione ai cd. CODICI DI CONDOTTA (di futura emanazione) o a un MECCANISMO DI CERTIFICAZIONE (di futura predisposizione);
ulteriori strumenti e metodi sono indicati all’art. 26 e 32 del GDPR nell’ambito del principio cd. della “PRIVACY BY DEFAULT”, e sono:

la PSEUDONIMIZZAZIONE, la MINIMIZZAZIONE e la CIFRATURA dei dati personali;
le misure tecniche e organizzative dirette a garantire che, “per impostazione predefinita”, siano svolti solo i trattamenti di dati (per quantità di dati, periodo di conservazione e accessibilità) corrispondenti alle specifiche finalità del trattamento;
le misure tecniche e organizzative dirette a garantire che, “per impostazione predefinita”, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica
l’adozione di una PROCEDURA PER TESTARE, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Principi di Privacy by design e by default

In applicazione dei principi della privacy by design e privacy by default sopra visti, vanno identificate le principali misure adeguate in caso di trattamento dei dati svolto senza strumenti elettronici.

Si può certamente in tale ottica osservare:

– vanno fornite istruzioni scritte agli incaricati/autorizzati per il controllo e la custodia degli atti e documenti contenenti dati personali;

– vanno individuati gli ambiti di trattamento dei dati consentiti agli incaricati/autorizzati a trattamento o a categorie omogenee di incaricati e il loro aggiornamento almeno annuale;

– va assicurato un accesso controllato agli archivi e documenti contenenti dati sensibili e/o giudiziari.

Registro delle attività di trattamento

All’art. 30 (XXIV) il GDPR prevede che i Titolari debbano tenere (e mettere a disposizione del Garante ove richiesto) un Registro delle attività di trattamento, una sorta di “censimento dei trattamenti”, contenente varie informazioni sui trattamenti svolti, tra cui:

– i riferimenti del Titolare e del DPO, se nominato;

– le finalità del trattamento;

– le categorie di interessati e dei dati personali trattati;

– le categorie di destinatari a cui i dati vengono comunicati nonché l’eventuale paese straniero o organizzazione internazionale a cui i dati vengono trasferiti;

– il momento della cancellazione dei dati;

– se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel vigore del GDPR, tale Registro rientra tra quegli elementi “documentali” tramite i quali il Titolare dimostra l’adeguamento al DGPR e al tempo stesso lo strumento operativo principale per avere un quadro dei trattamenti, dei rischi e quindi delle MISURE ADEGUATE da adottare.

Analogo Registro va predisposto dal Responsabile esterno del Trattamento con riferimento ai trattamenti svolti per conto del Titolare.

Ecco le principali caratteristiche del Registro:

– deve avere forma scritta, e quindi può essere un documento cartaceo o un documento/file elettronico da stampare e conservare;

– non deve essere comunicato a terzi ma conservato presso la sede;

– deve essere periodicamente aggiornato.

– non è indispensabile abbia “data certa”, anche se in via cautelativa è certamente buona prassi inviarlo via pec a terzi, affinché sia possibile risalire con certezza (giuridica) al giorno in cui è stato redatto o aggiornato.

Gli obblighi sopra riportati va precisato non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Data Protection Impact Assessment

La DPIA (Valutazione di impatto) è una procedura che il DGPR prevede (art. 35) (XXV) come sostitutiva dell’obbligo del Titolare di notificare al Garante l’esistenza di particolari trattamenti di dati.

Devono fare una Valutazione di Impatto, prima di svolgere l’attività di trattamento dei dati, quei Titolari che svolgono trattamenti, specialmente mediante l’uso di “nuove tecnologie”, che, considerati “la natura, l’oggetto, il contesto e le finalità del trattamento”, “possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

In particolare, sono tenuti alla Valutazione di Impatto quei Titolari:

a) che svolgono una PROFILAZIONE DI DATI, e cioè raccolgono e raffrontano dati in via automatizzata per compiere una valutazione sistematica e globale di aspetti personali delle persone fisiche, valutazione che poi comporta l’assunzione di decisioni che riguardano significativamente tali persone;

b) che svolgono un trattamento SU LARGA SCALA di dati personali “particolari” e giudiziari;

c) che svolgono un’attività di SORVEGLIANZA sistematica su larga scala di una zona accessibile al pubblico.

Si tratta di ipotesi che difficilmente interessano gli Enti del Terzo Settore, ad eccezione del trattamento di dati sensibili e giudiziari, per il quale è necessario capire quanto tale trattamento si svolge SU LARGA SCALA.

Data Breach

Per “Data Breach” o “violazione dei dati personali” si intende una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzato o l’accesso ai dati personali”.

Si tratta quindi della perdita, del danneggiamento o della fuoriuscita di dati o dell’accesso illecito anche indipendente dalla volontà dell’Associazione (anche la perdita di una chiavetta USB, il furto del PC, la cancellazione di un archivio dati, l’accesso al computer di estranei, ecc.).

È un evento che va affrontato subito e che non va nascosto, in quanto:

l’occultamento comporta gravi sanzioni (fino a € 10.000.000,00);
la violazione dei dati, se non bloccata o rimediata, può causare danno all’interessato.

In caso di Data Breach il GDPR prescrive al Titolare (art. 33 e 34) (XXVI):

a) di denunciare/notificare al Garante per la Protezione dei Dati Personali l’esistenza della violazione “senza giustificato ritardo e se possibile entro 72 ore” dal momento in cui il Titolare ha conoscenza della violazione medesima. L’obbligo di denuncia non sussiste quando sia improbabile che la violazione comporti un rischio/pregiudizio per i diritti e le libertà delle persone (ad esempio se si tratta di dati comuni, o se la violazione consiste nella mera distruzione di dati che possono essere richiesti all’interessato).

b) di comunicare la violazione all’interessato “senza ingiustificato ritardo”, l’esistenza della violazione che riguarda i suoi dati. L’obbligo di comunicazione non sussiste, anche in questo caso, quando la violazione non comporta un rischio/pregiudizio per i diritti e le libertà dell’interessato, e anche negli altri casi di cui all’art. 34 GDPR (ad esempio quanto il Titolare è riuscito ad evitare la lesione dei diritti o la comunicazione richiede sforzi sproporzionati per l’esistenza di un gran numero di interessati).

c) di conservare un registro dei data breach che deve contenere le seguenti informazioni:

– i dettagli relativi al data breach, ovvero informazioni inerenti le cause della violazione, il luogo nel quale essa è avvenuta e la tipologia dei dati personali violati;

– gli effetti e le conseguenze della violazione;

– il piano di intervento predisposto dal titolare;

– la motivazione delle decisioni assunte a seguito del data breach nei casi in cui:

il titolare ha deciso di non procedere alla notifica
il titolare ha ritardato nella procedura di notifica
il titolare ha deciso di non notificare il data breach agli interessati

Il Gruppo di lavoro ex art. 29 (“WP 29”) ha adottato il 6 febbraio 2018 la versione definitiva delle linee guida sulla notifica delle violazioni dei dati personali (cd. “Data Breach”) ai sensi del Regolamento UE n. 679/2016 (cd. “GDPR”).

Nel documento in esame, il WP 29 ha ricordato che il Data Breach consiste in una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il WP29, riprendendo la distinzione già operata nel suo precedente parere 03/2014 sulla notifica delle violazioni dei dati personali adottato il 25 marzo 2014, suddivide la violazione dei dati personali in tre categorie:

– “Confidentiality breach”: in caso di divulgazione o accesso non autorizzato o accidentale a dati personali;

– “Availability breach”: in caso di alterazione non autorizzata o accidentale di dati personali;

– “Integrity breach”: in caso di modifica non autorizzata o accidentale di dati personali.

Come detto ai sensi dell’articolo 33, primo comma, del GDPR, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il GDPR ammette che i titolari del trattamento possano non essere in possesso di tutte le informazioni relative alla violazione nelle 72 ore successive al suo verificarsi. In tale ipotesi, il WP29 ha chiarito che i titolari hanno la possibilità di comunicare entro il termine di legge all’Autorità di controllo la sola violazione subita, per poi fornire in un successivo momento tutte le informazioni richieste dal suddetto art. 33, corredandole con i motivi del ritardo.

Il WP29 ha illustrato, inoltre, uno scenario in cui il titolare del trattamento, venendo a conoscenza di una prima violazione, si ritrovi, prima della notifica, a rilevare altre violazioni simili, ma con cause diverse. In tal caso, a seconda delle circostanze, il WP29 ha chiarito che il titolare, invece di notificare ogni singolo Data Breach, potrà provvedere con un’unica notifica contenente le diverse violazioni, qualora tali violazioni riguardino le stesse categorie di dati e si siano verificate tramite le stesse modalità, in un arco temporale ristretto. Qualora, invece, le violazioni riguardino categorie diverse di dati personali e si siano verificate tramite differenti modalità, il titolare dovrà effettuare una notifica specifica per ciascuna violazione riscontrata, in conformità all’articolo 33 del GDPR.

Qualora una violazione dei dati personali coinvolga dati di persone fisiche in più Stati Membri, il titolare deve notificare la violazione all’Autorità di controllo capofila. Inoltre, l’articolo 27 del GDPR (XXVII) impone al titolare del trattamento (e al responsabile del trattamento) di designare un rappresentante nell’UE in caso di applicazione dell’articolo 3, comma 2, del GDPR. In tali casi, il WP29 raccomanda che la notifica sia fatta all’Autorità di controllo dello Stato membro in cui è stabilito il rappresentante del titolare del trattamento nell’ UE.

Il WP29 sottolinea che il titolare del trattamento dovrà documentare tutte le violazioni che si siano verificate, indipendentemente dall’obbligo di notifica, al fine di poter dimostrare la conformità al GDPR del trattamento effettuato. Come previsto dall’articolo 33, comma 5, del GDPR, il titolare del trattamento deve registrare i dettagli relativi alla violazione, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Il GDPR non specifica un periodo di conservazione per tale documentazione. Qualora tali registrazioni contengano dati personali, spetta al titolare del trattamento determinare il periodo appropriato di conservazione conformemente ai principi relativi al trattamento dei dati personali e indicare base legale per il trattamento. La documentazione dovrà essere conservata, in conformità all’articolo 33, comma 5 del GDPR, nella misura in cui tale documentazione consenta all’Autorità di controllo di verificare il rispetto di tale articolo o, più in generale, del principio di responsabilizzazione.

Oltre a questi dettagli, il WP29 raccomanda al titolare di documentare la motivazione delle decisioni prese a seguito di una violazione. In particolare, se una violazione non è stata notificata, occorre documentare la motivazione circa tale decisione. Ciò dovrebbe ricomprendere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. In alternativa, se il titolare del trattamento ritiene che sussistano le condizioni di cui all’articolo 34, comma 3, del GDPR, deve essere in grado di provare adeguatamente che sussistano tali condizioni.

Sistema Sanzionatorio

Il mancato rispetto delle norme del GDPR può comportare l’applicazione di rilevanti sanzioni penali e amministrative (sensibilmente inasprite) e può causare l’obbligo dell’associazione di risarcire i danni causati a terzi da un trattamento illegittimo.

Sul piano penale, di competenza di ciascuno Stato membro, attualmente restano applicabili i REATI previsti dal vigente Codice (D.Lgs. n. 196/2003).

Soprattutto, quando il titolare è una associazione, che è una persona giuridica, sorge il problema di individuare la persona fisica responsabile penalmente, poiché la responsabilità penale può colpire solo persone fisiche, salvo casi particolari (di cui al D.Lgs. 231/01) che non riguardano la privacy.

A tal proposito si può dire che, all’interno dell’associazione, la responsabilità penale colpisce chi, sotto il profilo sostanziale, esercita il potere direttivo e ha preso le decisioni in materia di privacy (ad esempio ha deciso che trattamenti svolgere e le loro modalità, o ha deciso che misure adeguate adottare). Quindi i membri del Consiglio Direttivo, il Presidente dell’associazione, il Delegato del trattamento o l’Amministratore di sistema eventualmente nominati sono le figure più “esposte”; il Presidente si potrà liberare da responsabilità dimostrando di aver conferito al Delegato (ex Responsabile interno, ad esempio un membro del Consiglio Direttivo) deleghe effettive in materia di privacy, cioè poteri decisionali e di spesa, e dovrà probabilmente dimostrare anche di aver vigilato sull’operato del soggetto delegato. Nel caso del Delegato o dell’Amministratore di sistema questa prova liberatoria sarà forse più difficile: egli potrà dimostrare che non gli erano state attribuite quelle funzioni il cui scorretto esercizio ha determinato il compimento di un reato, ma l’esistenza di istruzioni scritte del titolare potrebbero rendere questa prova più ardua. La ripartizione delle responsabilità all’interno dell’associazione è un aspetto molto delicato: si consiglia di attribuirle in relazione all’effettiva competenza e capacità delle persone.

Le SANZIONI AMMINISTRATIVE previste dall’art. 83 (XXVIII) del GDPR sostituiscono quelle previste dall’attuale Codice italiano.

In sintesi:

– è soggetta alla sanzione pecuniaria (multa) “fino a € 10.000.000,00” la violazione degli obblighi gravanti sul Titolare e sul Responsabile del trattamento previsti dagli articoli 8, 11, da 25 a 39, 42 e 43; la violazione degli obblighi stabiliti dall’organismo di certificazione a norma degli articoli 42 e 43; la violazione degli obblighi stabiliti dall’organismo di controllo a norma dell’articolo 41, paragrafo 4.

– è soggetta alla sanzione pecuniaria (multa) “fino a € 20.000.000,00” ad esempio la violazione:

dei “principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9”;
dei “diritti degli interessati a norma degli articoli da 12 a 22”;
delle regole per i “trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49”;

– è soggetta alla sanzione pecuniaria (multa) “fino a € 20.000.000,00” ad esempio la violazione l’inosservanza di un ordine del Garante per la Protezione dei Dati Personali.

Come è facile capire, si tratta di un apparato sanzionatorio gravissimo, in quanto commisurato ai giganti della rete (ad evitare che la sanzione possa essere già prevista a bilancio come rischio necessario e calcolato), che certamente spaventa le piccole (e grandi) associazioni.

È possibile che, nonostante le violazioni sopra descritte, il Garante limiti l’importo della sanzione in ragione della natura non profit del Titolare o delle ridotte proporzioni dell’Associazione?

Tale possibilità non è certa né probabile, tuttavia il GDPR indica specifici elementi che possono provocare, anche l’applicazione di una sanzione di basso importo:

– la non gravità e la limitata durata della violazione;

– l’oggetto o la finalità del trattamento (è teoricamente possibile quindi che finalità sociali o benefiche possano temperare la sanzione);

– il limitato numero di interessati lesi o la non rilevanza del danno;

– il carattere doloso anziché colposo della violazione;

– le misure adottate dal Titolare per limitare il danno;

– il fatto che il Titolare avesse posto in essere misure tecniche e organizzative adeguate;

– l’inesistenza di precedenti violazioni;

– il fatto che il Titolare abbia cooperato con il Garante al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

– il fatto che il Titolare abbia spontaneamente notificato la violazione.

Le sanzioni amministrative vengono decise dal Garante per la protezione dei dati personali, anche su reclamo o segnalazione dell’interessato, dopo una fase istruttoria di accertamento nella quale il Garante può chiedere al titolare, al responsabile, all’interessato o a terzi di fornire informazioni o esibire documenti.

L’irrogazione della sanzione è disciplinata dalla L. 689/81: il Garante, se ritiene si sia compiuto l’illecito, notifica la contestazione; entro 60 giorni chi la riceve può far pervenire sue difese e chiedere di essere sentito; se il Garante conferma la violazione emette una ordinanza ingiunzione di pagamento, che è impugnabile davanti al giudice del luogo in cui è stato commesso l’illecito entro 30 giorni dalla notifica dell’ordinanza .

La responsabilità amministrativa colpisce la persona fisica o le persone fisiche che hanno commesso la violazione (responsabili o incaricati/autorizzati al trattamento); la sanzione però può colpire, ai sensi dell’art. 6 L. 689/81 e a titolo di responsabilità solidale, anche:

a) l’associazione se l’illecito è compiuto dai suoi dipendenti;

b) il proprietario della cosa che è servita a commettere l’infrazione (es. l’associazione quale proprietaria del computer);

c) la persona che aveva la vigilanza su chi ha commesso l’illecito, salvo non provi di non aver potuto impedire il fatto.

In tutti questi casi, però, il responsabile solidale potrà chiedere all’autore dell’illecito l’intera somma che ha dovuto pagare (cd. azione di “regresso”).

Altro potere del Garante è quello, previsto dall’art. 143 del Codice e 58 del GDPR, di imporre il blocco o la sospensione del trattamento illecito e di prescrivere al titolare l’adozione di idonee misure per renderlo lecito.

L’applicazione delle sanzioni amministrative è condizionata dalla gravità del fatto: se ad esempio la mancata comunicazione dell’informativa è elemento forse decisivo, in un caso di incompletezza della stessa il Garante ha ritenuto che andasse modificata ma non fosse “tale da implicare l’applicazione di una sanzione” (provvedimento 10.1.2002 in www.privacy.it).

L’art. 166 (XIX) del Codice privacy è stato completamente novellato dal decreto 101/2018 e definisce in modo dettagliato i criteri di applicazione delle sanzioni amministrative pecuniarie di cui all’art. 83 GDPR, nonché i provvedimenti correttivi di cui all’art. 58 GDPR. Il Garante è l’organo deputato ad irrogare tali sanzioni e adottare tali provvedimenti.

In tema di illeciti penali è stato novellato l’art. 167 del vecchio Codice privacy e sono state aggiunte due nuove fattispecie di reato. È stata ampliata la casistica riconducibile a ipotesi di trattamento illecito di dati personali e previsto che il pubblico ministero informi senza ritardo il Garante, non appena abbia ricevuto la notizia di reato. Inoltre il nocumento, la cui natura giuridica è stata da sempre controversa (la precedente formulazione dell’art. 167 lasciava infatti aperta la strada all’interpretazione del nocumento come condizione obiettiva di punibilità e non di elemento oggettivo del reato), diventa senza dubbio elemento costitutivo del reato, in quanto la condotta si concretizza nell’arrecare nocumento all’interessato: è punito “chiunque, operando in violazione delle disposizioni in materia di protezione dei dati, arreca nocumento all’interessato (…)”.

L’art. 167-bis introduce il reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala.

L’art. 167-ter introduce il reato di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.

La responsabilità civile

L’art. 82 (XXX) GDPR prevede che:

– chiunque subisca un danno materiale o immateriale causato dalla violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Si tratta di un’ipotesi di responsabilità oggettiva (da “attività pericolosa”), in quanto:
– deriva dalla mera violazione di una prescrizione del GDPR;

– implica l’inversione dell’onere della prova: non è il danneggiato a dover dimostrare che il danno dipende da chi ha trattato i suoi dati, ma sono il Titolare o il responsabile che, per liberarsi da responsabilità, devono dimostrare “che l’evento dannoso non gli è in alcun modo imputabile”, e cioè, in sostanza, di aver adottato tutte le misure idonee ad evitare il danno” (come prevede il Codice del 2003 facendo riferimento all’art. 2050 c.c.): in sostanza, che l’evento dannoso deriva da un evento completamente esterno, o da caso fortuito o forza maggiore, in quanto hanno approntato tutte le misure tecniche, procedimentali e organizzative dirette alla tutela dei diritti dell’interessato.

Quindi se un ETS viola le norme del Regolamento causando un danno a terze persone, potrà esser chiamate in causa dal danneggiato davanti al giudice civile per ottenere il risarcimento del danno patrimoniale e/o morale.

L’Ente risponderà con i propri beni e – se l’associazione non ha la personalità giuridica – con il patrimonio personale delle persone fisiche che hanno agito in nome e per conto dell’Associazione in ambito privacy.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL