際際滷

際際滷Share a Scribd company logo

Gdpr - I primi dati dopo 9 mesi di applicazione

G
Gabriele Cartella

Presentazione dei primi effetti "pratici" dell'applicazione del GDPR.

1 of 6
Download to read offline
GDPR I PRIMI DATI DOPO 9 MESI DI APPLICAZIONE ED A CIRCA 3 MESI DAL TERMINE DELLA FASE DI PRIMA APPLICAZIONE DELLE DISPOSIZIONI SANZIONATORIE. STUDIO LEGALE CARTELLA MANZONI VIA SANTA SOFIA 18 (20122) MILANO PH: +39 02 5830 1568 FAX: +39 02 5831 1783 INFO@STUDIOCARTELLA.IT 1
Il Reg. UE 679/2016 (cd. GDPR) 竪 applicabile dal 25 maggio 2018 e tra pochi mesi (per lesattezza, il 18 maggio 2019) terminer la fase di prima applicazione delle disposizioni sanzionatorie prevista dallart. 22 co. 13 del D. Lgs. 101/2018 (). E quindi tempo di un primo bilancio sui risvolti pratici dellapplicazione del GDPR. STUDIO LEGALE CARTELLA - MANZONI 2 () Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
INCREMENTO DI RECLAMI/SEGNALAZIONI E DI NOTIFICHE DELLE VIOLAZIONI La Commissione Europea ha recentemente pubblicato uninfografica () che ben fotografa limpatto del GDPR dal 25/05/2018 al 01/2019: i reclami sono stati oltre 90.000; le notifiche di violazioni alle Autorit di controllo sono state oltre 40.000. In Italia dal 25/05/2018 al 31/12/2018 (): i reclami e le segnalazioni sono stati 4.704 (nello stesso periodo del 2017 furono 3.378); le notifiche di violazioni al Garante per la protezione dei dati personali sono state 630. Un aumento dei reclami/segnalazioni e delle notifiche di violazioni 竪 riscontrabile anche negli altri Stati dove si applica il GDPR: in Francia la CNIL ha ricevuto 6.000 reclami dal 25/05/2018 al 31/12/2018 (il 34% in pi湛 rispetto allo stesso periodo del 2017) (); in Irlanda la DPC ha ricevuto mensilmente una media di 350 reclami e 500 notifiche di violazioni nei primi due mesi di applicazione del GDPR (rispetto ai circa 220 reclami e 230 notifiche di violazioni mensili del 2017) (); in Belgio la APD ha ricevuto 148 reclami/segnalazioni e 317 notifiche di violazioni dal 25/05/2018 al 21/11/2018 (rispetto ai 76 reclami/segnalazioni e 17 notifiche di violazioni nel 2017) (). STUDIO LEGALE CARTELLA - MANZONI 3 () https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf () https://www.garanteprivacy.it/web/guest/regolamentoue/bilancio () https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application () https://www.bankinfosecurity.com/gdpr-eu-sees-more-data-breach-reports-privacy-complaints-a-11873 () https://www.autoriteprotectiondonnees.be/news/le-rgpd-apres-six-mois-bilan
STUDIO LEGALE CARTELLA - MANZONI 4
PRIME SANZIONI Nel frattempo, alcune Autorit di controllo nazionali hanno irrogato le prime sanzioni sulla base del GDPR: Austria: in seguito ad unispezione, il Datenschutzbeh旦rden ha sanzionato per 5.280,00 un esercizio commerciale il cui sistema di video sorveglianza riprendeva, senza alcuna giustificata motivazione e senza averne dato informazione mediante apposita segnaletica, una porzione eccessiva di marciapiede al di fuori della propriet aziendale, omettendo peraltro di cancellare le riprese entro il termine massimo consentito (https://edpb.europa.eu/news/national- news/2018/first-austrian-fine-cctv-coverage-summary_en); Francia: la CNIL ha sanzionato Google per 50.000.000,00 per aver violato le norme in materia di trasparenza ed informativa e per non aver ottenuto validamente il consenso degli interessati in relazione ai servizi di pubblicit personalizzata (https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387 945&fastPos=1); Germania: il Landesbeauftragte f端r Datenschutz und Informationsfreiheit ha sanzionato per 20.000,00 unazienda (proprietaria di una app di incontri) che aveva sub狸to la violazione di circa 330.000 credenziali di accesso a caselle mail, con successiva divulgazione su internet delle password. Il Garante tedesco ha sanzionato lazienda, in particolare, per il fatto che le password daccesso non fossero protette da sistemi di cifratura, ma ha, al tempo stesso, irrogato una sanzione contenuta per premiare la condotta collaborativa dellazienda che aveva notificato la violazione allAutorit di controllo (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden- W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf); Portogallo: in seguito ad unispezione, la CNPD ha sanzionato un ospedale per circa 400.000,00 poich辿 i dati personali e sanitari dei pazienti erano facilmente accessibili e modificabili anche da soggetti non incaricati del trattamento (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros- comissao-dados-1848479#gs.lwC3Ihbb). STUDIO LEGALE CARTELLA - MANZONI 5
SCENARI FUTURI Come anticipato, il 18 maggio 2019 giunger alla conclusione la fase di prima applicazione delle disposizioni sanzionatorie: in caso di mancato rispetto della nuova normativa sul trattamento dei dati, il Garante per la protezione dei dati personali, dunque, non considerer pi湛 il periodo iniziale di applicazione della legge come una 束attenuante損 di cui tener conto al momento dellirrogazione delle sanzioni. Considerato quanto sopra, come pure la sempre maggiore attenzione riservata (da tutti i soggetti: cittadini-interessati; aziende; autorit; organi politici) alla tutela dei dati personali, lincremento delle attivit (ispettive e sanzionatorie) delle Autorit di controllo, nonch辿 limminente adozione del Regolamento ePrivacy (cd. ePR), 竪 ormai di fondamentale importanza: tanto: dotarsi di documenti (ad es.: informative; atti di nomina di responsabili o incaricati; registri dei trattamenti; ecc.) e policies (ad es.: regolamenti sulluso degli strumenti aziendali; regolamenti per la gestione delle violazioni; ecc) che rispettino le previsioni normative; quanto: adottare le misure di sicurezza (fisiche e informatiche) necessarie per garantire il corretto e sicuro trattamento dei dati personali; formare i soggetti incaricati dei trattamenti; vigilare sul rispetto della normativa e delle policies aziendali; in modo che la compliance al GDPR non si risolva nella mera adozione di standard contrattuali o nella semplice consegna agli interessati dellinformativa. STUDIO LEGALE CARTELLA - MANZONI 6

More Related Content

Gdpr - I primi dati dopo 9 mesi di applicazione

  • 1. GDPR I PRIMI DATI DOPO 9 MESI DI APPLICAZIONE ED A CIRCA 3 MESI DAL TERMINE DELLA FASE DI PRIMA APPLICAZIONE DELLE DISPOSIZIONI SANZIONATORIE. STUDIO LEGALE CARTELLA MANZONI VIA SANTA SOFIA 18 (20122) MILANO PH: +39 02 5830 1568 FAX: +39 02 5831 1783 INFO@STUDIOCARTELLA.IT 1
  • 2. Il Reg. UE 679/2016 (cd. GDPR) 竪 applicabile dal 25 maggio 2018 e tra pochi mesi (per lesattezza, il 18 maggio 2019) terminer la fase di prima applicazione delle disposizioni sanzionatorie prevista dallart. 22 co. 13 del D. Lgs. 101/2018 (). E quindi tempo di un primo bilancio sui risvolti pratici dellapplicazione del GDPR. STUDIO LEGALE CARTELLA - MANZONI 2 () Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
  • 3. INCREMENTO DI RECLAMI/SEGNALAZIONI E DI NOTIFICHE DELLE VIOLAZIONI La Commissione Europea ha recentemente pubblicato uninfografica () che ben fotografa limpatto del GDPR dal 25/05/2018 al 01/2019: i reclami sono stati oltre 90.000; le notifiche di violazioni alle Autorit di controllo sono state oltre 40.000. In Italia dal 25/05/2018 al 31/12/2018 (): i reclami e le segnalazioni sono stati 4.704 (nello stesso periodo del 2017 furono 3.378); le notifiche di violazioni al Garante per la protezione dei dati personali sono state 630. Un aumento dei reclami/segnalazioni e delle notifiche di violazioni 竪 riscontrabile anche negli altri Stati dove si applica il GDPR: in Francia la CNIL ha ricevuto 6.000 reclami dal 25/05/2018 al 31/12/2018 (il 34% in pi湛 rispetto allo stesso periodo del 2017) (); in Irlanda la DPC ha ricevuto mensilmente una media di 350 reclami e 500 notifiche di violazioni nei primi due mesi di applicazione del GDPR (rispetto ai circa 220 reclami e 230 notifiche di violazioni mensili del 2017) (); in Belgio la APD ha ricevuto 148 reclami/segnalazioni e 317 notifiche di violazioni dal 25/05/2018 al 21/11/2018 (rispetto ai 76 reclami/segnalazioni e 17 notifiche di violazioni nel 2017) (). STUDIO LEGALE CARTELLA - MANZONI 3 () https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf () https://www.garanteprivacy.it/web/guest/regolamentoue/bilancio () https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application () https://www.bankinfosecurity.com/gdpr-eu-sees-more-data-breach-reports-privacy-complaints-a-11873 () https://www.autoriteprotectiondonnees.be/news/le-rgpd-apres-six-mois-bilan
  • 5. PRIME SANZIONI Nel frattempo, alcune Autorit di controllo nazionali hanno irrogato le prime sanzioni sulla base del GDPR: Austria: in seguito ad unispezione, il Datenschutzbeh旦rden ha sanzionato per 5.280,00 un esercizio commerciale il cui sistema di video sorveglianza riprendeva, senza alcuna giustificata motivazione e senza averne dato informazione mediante apposita segnaletica, una porzione eccessiva di marciapiede al di fuori della propriet aziendale, omettendo peraltro di cancellare le riprese entro il termine massimo consentito (https://edpb.europa.eu/news/national- news/2018/first-austrian-fine-cctv-coverage-summary_en); Francia: la CNIL ha sanzionato Google per 50.000.000,00 per aver violato le norme in materia di trasparenza ed informativa e per non aver ottenuto validamente il consenso degli interessati in relazione ai servizi di pubblicit personalizzata (https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387 945&fastPos=1); Germania: il Landesbeauftragte f端r Datenschutz und Informationsfreiheit ha sanzionato per 20.000,00 unazienda (proprietaria di una app di incontri) che aveva sub狸to la violazione di circa 330.000 credenziali di accesso a caselle mail, con successiva divulgazione su internet delle password. Il Garante tedesco ha sanzionato lazienda, in particolare, per il fatto che le password daccesso non fossero protette da sistemi di cifratura, ma ha, al tempo stesso, irrogato una sanzione contenuta per premiare la condotta collaborativa dellazienda che aveva notificato la violazione allAutorit di controllo (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden- W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf); Portogallo: in seguito ad unispezione, la CNPD ha sanzionato un ospedale per circa 400.000,00 poich辿 i dati personali e sanitari dei pazienti erano facilmente accessibili e modificabili anche da soggetti non incaricati del trattamento (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros- comissao-dados-1848479#gs.lwC3Ihbb). STUDIO LEGALE CARTELLA - MANZONI 5
  • 6. SCENARI FUTURI Come anticipato, il 18 maggio 2019 giunger alla conclusione la fase di prima applicazione delle disposizioni sanzionatorie: in caso di mancato rispetto della nuova normativa sul trattamento dei dati, il Garante per la protezione dei dati personali, dunque, non considerer pi湛 il periodo iniziale di applicazione della legge come una 束attenuante損 di cui tener conto al momento dellirrogazione delle sanzioni. Considerato quanto sopra, come pure la sempre maggiore attenzione riservata (da tutti i soggetti: cittadini-interessati; aziende; autorit; organi politici) alla tutela dei dati personali, lincremento delle attivit (ispettive e sanzionatorie) delle Autorit di controllo, nonch辿 limminente adozione del Regolamento ePrivacy (cd. ePR), 竪 ormai di fondamentale importanza: tanto: dotarsi di documenti (ad es.: informative; atti di nomina di responsabili o incaricati; registri dei trattamenti; ecc.) e policies (ad es.: regolamenti sulluso degli strumenti aziendali; regolamenti per la gestione delle violazioni; ecc) che rispettino le previsioni normative; quanto: adottare le misure di sicurezza (fisiche e informatiche) necessarie per garantire il corretto e sicuro trattamento dei dati personali; formare i soggetti incaricati dei trattamenti; vigilare sul rispetto della normativa e delle policies aziendali; in modo che la compliance al GDPR non si risolva nella mera adozione di standard contrattuali o nella semplice consegna agli interessati dellinformativa. STUDIO LEGALE CARTELLA - MANZONI 6