REGOLAMENTO (UE) 2016/679 del 27 aprile 2016 e consulenza

DEFINIZIONE

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). .

Oggetto e finalità

  • Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

  • Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

  • La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Entrata in vigore e applicazione Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere da 25 maggio 2018.
Le principali novità introdotte sono:
  • obbligatorietà del Data Protection Officer per alcune tipologie di trattamento e per la P.A.;

  • diritto all'oblio, in particolar modo per i dati on-line;

  • previsione di un consenso chiaro ed inequivocabile;

  • maggiori informazioni sul periodo di conservazione dei dati;

  • sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo del trasgressore;

  • one stop shop, ci si rivolge ad un unico garante in Europa;

  • data breach notification, perdita, accesso abusivo dati da comunicare al garante;

  • previsione di Data Privacy Impact Assessment (DPIA) e di registri del trattamento;

  • codice di condotta e schemi di certificazione Privacy.

FC Studio Ferrazzi offre alle Aziende una prima formazione gratuita con esperto Asso DPO.

Consulenza Privacy Certificata

Consulenza FMC, per le Aziende con un complesso Sistema di Gestione dei Dati, suggerisce la seguente impostazione di lavoro:

a) Effettuare intervento formativo in ambito privacy per tutti i referenti di sviluppo e gestione del progetto
Motivazione: la gestione della privacy fa parte dei sistemi di gestione e compliance aziendale, presenta elevatissimi rischi anche di natura sanzionatoria, e si traduce in azioni quotidiane legate sia al design dei sistemi informativi, alle scelte di gestione delle attività di marketing, dalla definizione delle caratteristiche delle app aziendali, alla gestione dei fornitori solo per citarne alcuni.

E' assolutamente necessario che le figure apicali che governano tali processi abbiano, oltre alle competenze tecniche e manageriali, anche delle precise e chiare conoscenze in ambito data protection, che non si traducono nella semplice informativa ma in un governance profonda ed attenta dei processi organizzativi e tecnici.

b) A seguito delle azioni di cui al punto a) fornitura di una check list di reperimento dati ed informazioni che sarà in via preliminare redatta, anche tramite i propri partner e collaboratori, da un referente aziendale che sarà da Voi nominato, ed in seconda battuta sviluppata con il supporto dei Ns consulenti;

c) Sulla base delle risultanze della check di cui al punto b) e di interviste ai referenti aziendali, sarà effettuato un audit dello stato dell'arte aziendale, con indicazione di conformità e non conformità e spunti per il miglioramento aziendale.

Motivazioni che spingono a suggerire questo approccio. 
Il sistema di governance privacy è, e sta diventando, sempre più complesso anche in ragione di nuove e recentissime disposizioni europee. 

Ogni Titolare del trattamento, ed in modo ancora più puntiglioso i titolari che trattano dati in modo complesso ed articolato, deve necessariamente dotarsi di processi ed organizzazione efficaci ed effettivi con piena consapevolezza interna e non è possibile esternalizzare in modo completo tali attività.


La tematica è complessa ed articolata e coinvolge un'impresa nel suo intero sistema operante: dagli aspetti di ICT, alla gestione del cliente, dal Marketing al sito web, dalla gestione dei fornitori, alla gestione delle partnership.
E' quindi necessario che siano pianamente coinvolte le figure apicali aziendali in modo diretto e consapevole.


L'attività di consulenza diventa a quel punto un percorso di affiancamento e di crescita dei soggetti apicali che governeranno quotidianamente i processi.

Non è da sottovalutare inoltre che sono molte e diversificate le incombenze che devono essere verificate e valutate e che tali valutazioni possono, devono, prevedere piena consapevolezza della struttura dirigenziale. il regime sanzionatorio inoltre non è di poco conto riportiamo alcune delle sanzioni previste.


  • 
Capo I - Violazioni amministrative
  • 
Art. 161. Omessa o inidonea informativa all'interessato
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
  • 
Art. 163. Omessa o incompleta notificazione
1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. (1)
  • 
Capo II - Illeciti penali
  • 
Art. 167. Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
  • 
Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante
1. Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
  • 
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. (2)
  • 
Art. 170. Inosservanza di provvedimenti del Garante
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.
  • 
Art. 171. Altre fattispecie
1. La violazione delle disposizioni di cui all'articolo 113 e all'articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all'articolo 38 della legge n. 300 del 1970.(1)
  • 
Art. 172. Pene accessorie
1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.