O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Regolamento Europeo
D.lgs. 101/2018
Poteri Ispettivi e sanzionatori dell’Autorità
Dott. Giuliano Giuseppe
Milano, 5 marzo ...
1
Poteri (art. 58)
Autorità di
controllo
• Richiedere informazioni
• Condurre indagini
• Effettuare un riesame delle certi...
L’apparato potestativo
Artt. 157 – 160
Del Codice privacy
Poteri di Polizia Giudiziaria per
le violazioni costituenti reato
Fornire informazioni
Art. 157 – come modificato
dal D.lgs. N. 101/18
Nell’ambito dei poteri di cui all’art. 58 del RPDP
Il...
Art. 157 del Codice
Richiesta di informazioni:
 invio di una missiva con la quale si richiede al Titolare del trattamento...
Art. 157 del Codice
Attraverso una attività ispettiva
che prevede l’intervento, presso il luogo in cui si svolge il
tratta...
I poteri ispettivi previsti dal Regolamento e dal Codice
La mancata osservanza della richiesta di fornire informazioni è
q...
Art. 158
Il Garante può disporre accessi
alle banche di dati
avvalendosi, ove
necessario, della
collaborazione di altri
or...
Art. 158
I controlli suindicati e quelli effettuati ai sensi dell’art. 62 del
Regolamento, sono eseguiti da personale dell...
Art. 158
previa autorizzazione del presidente
del tribunale competente per
territorio
Se gli accertamenti si svolgono in
c...
Art. 14 della Costituzione
Il domicilio è inviolabile.
Non vi si possono eseguire ispezioni o perquisizioni o sequestri, s...
Art. 159
Il Garante nel procedere a rilievi e operazioni può
Estrarre copia di ogni
atto, dato e documento
Può avvalersi, ...
Art. 159
Ai soggetti viene consegnata copia dell’autorizzazione
del Tribunale, ove rilasciata
I soggetti sono tenuti a
far...
I poteri ispettivi previsti dal Regolamento e dal Codice
 L’accesso dell’Autorità di controllo non conosce limiti: «tutti...
Il Garante: I poteri ispettivi previsti dal Regolamento
 Non solo vi è una sanzione pecuniaria, ma il legislatore italian...
17
Cura lo svolgimento delle attività ispettive e di accertamenti in loco
in collaborazione con i dipartimenti giuridici
P...
Documentazione richiesta durante una attività ispettiva
 Struttura ed organizzazione della società/ente;
 Distribuzione ...
Documentazione richiesta durante una attività ispettiva
 formazione ed istruzione degli incaricati (eventuali nomine);
 ...
Documentazione richiesta durante una attività ispettiva
 Procedure standard in relazione ai diritti degli interessati (ex...
Documentazione richiesta durante una attività ispettiva
 Tempo di conservazione dei dati personali (obbligatoria con il
R...
Documentazione richiesta durante una attività ispettiva
 Audit effettuato sia internamente che presso i responsabili
este...
Art. 160
Il Garante nel procedere agli accertamenti dei dati
Trattamenti di dati personali
per fini di sicurezza nazionale...
Segnalazioni
Reclami
Di iniziativa
Proposta
Richiesta di
informazione e
documenti
Art. 157
Accessi
Art. 158
preavviso
Asse...
Input di Iniziativa
 Delibera semestrale dell’Autorità in cui vengono individuati in
linea di massima i settori di intere...
La collaborazione con la G di F.
Primo Protocollo di intesa siglato nel 2005 e
rinnovato nel 2016
27
Il protocollo prevede che la G. di F. collabori con il Garante attraverso:
• il reperimento di dati ed informazioni sui so...
Articoli 82-84
Responsabilità e
sanzioni
Responsabilità e
sanzioni
Responsabilità e
sanzioni
3
Violazioni
penali
Sanzioni
amministrative
Provvedimenti
inibitori
Garante
Prescrizioni
Il quadro delle responsabilità oggi...
L’apparato sanzionatorio amministrativo del Codice
Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare o un responsabile del trattamento viola va...
i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9
i diri...
Il sistema sanzionatorio nel Regolamento
Nel regolamento le sanzioni sono inserite nel capo VIII,
all’art. 83 “Condizioni ...
Il sistema sanzionatorio nel Regolamento
 La seconda, fino a 20.000.000 di euro o fino al 4% del
fatturato delle imprese,...
Il sistema sanzionatorio nel Regolamento
Applicazione della sanzione – Linee Guida
Il concetto di “equivalenza” (per tutti...
Gravità della
violazione
Gravità della
violazione
Gravità della
violazione
1
Opera svolta per
eliminazione o
attenuazione
...
Le sanzioni amministrative sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di c...
39
SANZIONI PENALI
40
Le conseguenze
Il nuovo sistema sanzionatorio del Codice
Art. 167 – Illecito trattamento dei dati
Comma 1
Salvo che il fatto costituisca ...
Il nuovo sistema sanzionatorio del Codice
Art. 167 – Illecito trattamento dei dati
Comma 2
procedendo al trattamento dei d...
Il nuovo sistema sanzionatorio del Codice
Art. 167 – Illecito trattamento dei dati
Comma 3
Salvo che il fatto costituisca ...
Il nuovo sistema sanzionatorio del Codice
Art. 167 – Illecito trattamento dei dati
Comma 4
Il Pubblico Ministero, quando h...
Il nuovo sistema sanzionatorio del Codice
Art. 167 – Illecito trattamento dei dati
Comma 6
Quando per lo stesso fatto è st...
Il nuovo sistema sanzionatorio del Codice
Art. 167–bis – Comunicazione e diffusione illecita di dati personali
oggetto di ...
Il nuovo sistema sanzionatorio del Codice
Art. 167–bis – Comunicazione e diffusione illecita di dati personali
oggetto di ...
Il nuovo sistema sanzionatorio del Codice
Art. 167–ter – Acquisizione fraudolenta di dati personali oggetto di
trattamento...
Il sistema sanzionatorio del Codice
Art. 168 - Falsità nelle dichiarazioni al Garante e interruzione
dell’esecuzione dei c...
Il sistema sanzionatorio del Codice
Art. 170 - Inosservanza dei provvedimenti del Garante
Chiunque, essendovi tenuto, non ...
GDPR Day 2019 - Regolamento Europeo nr. 679/2016 e d.lgs. n. 101/2018: poteri ispettivi e sanzionatori dell’Autorità Garan...
Próximos SlideShares
Carregando em…5
×

GDPR Day 2019 - Regolamento Europeo nr. 679/2016 e d.lgs. n. 101/2018: poteri ispettivi e sanzionatori dell’Autorità Garante per la protezione dei dati personali.

267 visualizações

Publicada em

Relatore: Giuseppe Giuliano, Funzionario del Dipartimento attività ispettive del Garante per la protezione dei dati personali.

Da tantissimi anni l’Autorità Garante per la protezione dei dati personali svolge attività ispettive e controlli in materia di protezione dei dati personali, presso gli Enti pubblici e i soggetti privati che effettuano trattamenti di dati personali nel territorio italiano. Le attività ispettive sono svolte esercitando le funzioni e i poteri attribuiti dagli artt. 157 e 158 del Codice. Le attività ispettive in materia di protezione dei dati personali possono essere delegate dal Garante alla Guardia di finanza, che svolge tale attività attraverso il Nucleo speciale privacy, composto da personale specificamente formato.
Nel corso degli anni è esponenzialmente cresciuto il numero delle contestazioni di violazioni amministrative e di ordinanze-ingiunzioni che il Garante ha adottato, nei casi in cui sono stati accertati trattamenti di dati svolti in violazione delle disposizioni del Codice. Le sanzioni sono state adottate in base alle disposizioni del Codice e della legge n. 689/1981. Con l’entrata in vigore del GDPR, un nuovo e più agile apparato sanzionatorio è stato introdotto, con la previsione di due grandi famiglie di sanzioni, rispettivamente per violazioni di minore gravità, che prevedono comunque un massimo edittale di 10.000.000 di euro, e per condotte più gravi, con il massimo edittale fissato a 20.000.000 di euro. Per i gruppi societari di particolari dimensioni sono previste sanzioni fino al 2% o al 4% del fatturato mondiale annuo.

Publicada em: Direito
  • Seja o primeiro a comentar

GDPR Day 2019 - Regolamento Europeo nr. 679/2016 e d.lgs. n. 101/2018: poteri ispettivi e sanzionatori dell’Autorità Garante per la protezione dei dati personali.

  1. 1. Regolamento Europeo D.lgs. 101/2018 Poteri Ispettivi e sanzionatori dell’Autorità Dott. Giuliano Giuseppe Milano, 5 marzo 2019
  2. 2. 1 Poteri (art. 58) Autorità di controllo • Richiedere informazioni • Condurre indagini • Effettuare un riesame delle certificazioni rilasciate • Notificare al titolare o al responsabile del trattamento le violazioni • Ottenere, dal titolare o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti • Ottenere accesso a tutti i locali del titolare e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri ISPETTIVI
  3. 3. L’apparato potestativo Artt. 157 – 160 Del Codice privacy Poteri di Polizia Giudiziaria per le violazioni costituenti reato
  4. 4. Fornire informazioni Art. 157 – come modificato dal D.lgs. N. 101/18 Nell’ambito dei poteri di cui all’art. 58 del RPDP Il Garante può richiedere Al responsabile, al titolare, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di Esibire documenti anche con riferimento alle banche dati Fornire informazioni
  5. 5. Art. 157 del Codice Richiesta di informazioni:  invio di una missiva con la quale si richiede al Titolare del trattamento o al Responsabile di trasmettere documenti ovvero di comunicare per iscritto notizie, dati, informazioni o altri elementi suscettibili di valutazione;  La missiva può essere inviata:  tramite posta certificata (PEC);  tramite raccomandata
  6. 6. Art. 157 del Codice Attraverso una attività ispettiva che prevede l’intervento, presso il luogo in cui si svolge il trattamento di  funzionari dell’Autorità,  ovvero per il tramite di Ispettori della Guardia di Finanza, appositamente incaricati di acquisire informazioni e documenti (Ordine di servizio).
  7. 7. I poteri ispettivi previsti dal Regolamento e dal Codice La mancata osservanza della richiesta di fornire informazioni è qualificata (ai sensi dell’art. 166, comma 2, del d.lgs. 196/2003 come modificato dal d.lgs. N. 101/2018, come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo;
  8. 8. Art. 158 Il Garante può disporre accessi alle banche di dati avvalendosi, ove necessario, della collaborazione di altri organi dello Stato o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni utili al controllo
  9. 9. Art. 158 I controlli suindicati e quelli effettuati ai sensi dell’art. 62 del Regolamento, sono eseguiti da personale dell’Ufficio, con la partecipazione di componenti o personale di Autorità di controllo di altri Stati membri dell’Unione europea
  10. 10. Art. 158 previa autorizzazione del presidente del tribunale competente per territorio Se gli accertamenti si svolgono in con l'assenso scritto ed informato del titolare o del responsabile nelle relative appartenenze un altro luogo di privata dimora un’abitazione o
  11. 11. Art. 14 della Costituzione Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali.
  12. 12. Art. 159 Il Garante nel procedere a rilievi e operazioni può Estrarre copia di ogni atto, dato e documento Può avvalersi, ove necessario, di consulenti tecnici tenuti al segreto ai sensi dell’art. 156, comma 8 Anche a campione e su supporto informatico o per via telematica Redige al termine di ogni giornata un verbale nel quale sono descritte le operazioni svolte, raccolte le dichiarazioni rese la documentazione acquisita
  13. 13. Art. 159 Ai soggetti viene consegnata copia dell’autorizzazione del Tribunale, ove rilasciata I soggetti sono tenuti a farli eseguire ed a prestare la collaborazione Il provvedimento costituisce titolo esecutivo ai sensi degli artt. 474 e 475 c.p.c. In caso di rifiuto gli accertamenti sono eseguiti Le spese sono a carico del titolare con il provvedimento che definisce il pprocedimento
  14. 14. I poteri ispettivi previsti dal Regolamento e dal Codice  L’accesso dell’Autorità di controllo non conosce limiti: «tutti» i dati personali, i locali e i mezzi di trattamento, nonché «tutte» le informazioni necessarie all’Autorità;  La mancata osservanza di tali disposizioni (quindi anche solo un accesso parziale in assenza di idonee giustificazioni) è qualificata (ai sensi dell’art. 83, par. 5, lett. e) come una violazione di particolare gravità in quanto associata ad una sanzione pecuniaria fino a 20 milioni di euro ovvero fino al 4% del fatturato mondiale globale annuo;
  15. 15. Il Garante: I poteri ispettivi previsti dal Regolamento  Non solo vi è una sanzione pecuniaria, ma il legislatore italiano ha previsto anche una fattispecie penale (ai sensi dell’art. 168, comma 2, del Codice, così come modificato dal d.lgs. 101/2018) ovvero «è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti»;
  16. 16. 17 Cura lo svolgimento delle attività ispettive e di accertamenti in loco in collaborazione con i dipartimenti giuridici Presta la collaborazione richiesta all’Autorità giudiziaria Cura i rapporti con le forze di polizia che cooperano con l’Autorità Esegue indagini per le violazioni al d.lg n. 196/2003 costituenti reato, avvalendosi del personale cui è attribuita la qualifica di ufficiale o agente di P.G. E’ responsabile del procedimento relativo all’applicazione delle sanzioni amministrative nei casi di negato accesso Il Dipartimento attività ispettive e sanzioni
  17. 17. Documentazione richiesta durante una attività ispettiva  Struttura ed organizzazione della società/ente;  Distribuzione delle funzioni in materia di protezione dei dati personali;  Elenco dei trattamenti;  Elenco aggiornato dei responsabili esterni del trattamento (Regolamento - art. 28);  Contitolari del trattamento (Regolamento - art. 26)  Elenco aggiornato dei soggetti autorizzati ad accedere (gli incaricati del trattamento);  Profilazione (abilitazioni) degli incaricati
  18. 18. Documentazione richiesta durante una attività ispettiva  formazione ed istruzione degli incaricati (eventuali nomine);  Copia delle informative rilasciate ai sensi degli artt. 13 e 14 del Regolamento);  Copia dei modelli di acquisizione del consenso ai sensi degli art. 7 e 8 del Regolamento;  misure adeguate di sicurezza adottate (fino al 24 maggio misure minime di cui all’allegato B del Codice)
  19. 19. Documentazione richiesta durante una attività ispettiva  Procedure standard in relazione ai diritti degli interessati (ex art. 7 del Codice) (Regolamento diritto di accesso (art. 15); Rettifica e cancellazione (art. 16); diritto all’oblio (art. 17); limitazione del trattamento (art. 18); notifica in caso di rettifica o cancellazione (art. 19) portabilità dei dati (art. 20); opposizione (art. 21); processo decisionale automatizzato (art. 22)  Utilizzo/acquisto di banche dati esterne;
  20. 20. Documentazione richiesta durante una attività ispettiva  Tempo di conservazione dei dati personali (obbligatoria con il Regolamento);  Registrazione degli accessi degli utenti autorizzati (file di log);  Tempi di conservazione dei file di log;  Misure idonee per accedere a particolari banche dati (username e password; strong authentication; utilizzo di dato biometrico ove previsto);  Modalità di accesso alle banche dati da remoto e soggetti autorizzati;
  21. 21. Documentazione richiesta durante una attività ispettiva  Audit effettuato sia internamente che presso i responsabili esterni;  Eventuali alert implementati su sistemi;  Eventuale backup sui dati;  Istituzione del Registro dei Trattamenti (Regolamento – art. 30)  Nomina del DPO (Regolamento – art. 37);  Valutazione di Impatto (Regolamento art. 35)
  22. 22. Art. 160 Il Garante nel procedere agli accertamenti dei dati Trattamenti di dati personali per fini di sicurezza nazionale e difesa (art. 58 del Codice come modificato dal d.lgs. N. 101/18) Partecipazione obbligatoria di un Componente del Garante Accertamenti non sono delegabili
  23. 23. Segnalazioni Reclami Di iniziativa Proposta Richiesta di informazione e documenti Art. 157 Accessi Art. 158 preavviso Assenso informato (*) Autorizazione A.G. (*) Ispezione e redazione del verbale Input Preparazione Esecuzione ISPEZIONI (*) Quando necessari
  24. 24. Input di Iniziativa  Delibera semestrale dell’Autorità in cui vengono individuati in linea di massima i settori di interesse;  Notizie Stampa e/o Notizie Televisive;  Attività conoscitiva su nuove tipologie di trattamento anche a seguito di evoluzione dei sistemi informatici (ad esempio: mobile payment; sperimentazione dei farmaci).;
  25. 25. La collaborazione con la G di F.
  26. 26. Primo Protocollo di intesa siglato nel 2005 e rinnovato nel 2016 27
  27. 27. Il protocollo prevede che la G. di F. collabori con il Garante attraverso: • il reperimento di dati ed informazioni sui soggetti da controllare • l’assistenza nei rapporti con l’Autorità Giudiziaria • la partecipazione di proprio personale agli accessi alle banche dati, ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento • lo sviluppo di attività delegate per l’accertamento delle violazioni di natura penale Il protocollo d’intesa
  28. 28. Articoli 82-84 Responsabilità e sanzioni Responsabilità e sanzioni Responsabilità e sanzioni 3
  29. 29. Violazioni penali Sanzioni amministrative Provvedimenti inibitori Garante Prescrizioni Il quadro delle responsabilità oggi nel Codice Risarcimento del danno Tribunale Procura della Repubblica Violazione
  30. 30. L’apparato sanzionatorio amministrativo del Codice
  31. 31. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare o un responsabile del trattamento viola varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa non supera l'importo specificato per la violazione più grave. Nuove sanzioni amministrative (art. 83) 8 (Consenso dei minori) 11 (Trattamento che non richiede l’identificazione) 25 (Protezione dei dati fin dalla progettazione) 26 (Contitolari del trattamento) 27 (Rappresentanti di titolari del trattamento non stabiliti nell'Unione) 28 (Responsabile del trattamento) 29 (Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento) 30 (Registri delle attività di trattamento) 31 (Cooperazione con l'autorità di controllo) 32 (Sicurezza del trattamento) 33 (Notifica di una violazione dei dati personali all'autorità di controllo) 34 (Comunicazione di una violazione dei dati personali all'interessato) 35 (Valutazione d'impatto sulla protezione dei dati) 36 (Consultazione preventiva) 37 (Designazione del responsabile della protezione dei dati) 38 (Posizione del responsabile della protezione dei dati) 39 (Compiti del responsabile della protezione dei dati) 42 (Certificazione) 43 (Organismi di certificazione) b) obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; c) obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4; La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
  32. 32. i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 i diritti degli interessati a norma degli articoli da 12 a 22 i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49 qualsiasi obbligo ai sensi delle legislazioni degli Stati adottate a norma del capo IX l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. Nuove sanzioni amministrative La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: Fatti salvi i poteri correttivi delle autorità a norma dell'articolo 58, paragrafo 2, ogni Stato può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative ad autorità pubbliche e organismi pubblici istituiti in tale Stato. L'esercizio da parte dell'autorità dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e degli Stati membri, inclusi il ricorso giurisdizionale
  33. 33. Il sistema sanzionatorio nel Regolamento Nel regolamento le sanzioni sono inserite nel capo VIII, all’art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie” e 84 “Sanzioni”. Sono previste nell’art. 83, paragrafi 4 e 5, due sole sanzioni:  la prima, fino a 10.000.000 di euro o fino al 2% del fatturato delle imprese, per le violazioni relative agli obblighi di titolari e responsabili, alla materia delle certificazioni, e a quella dei codici di condotta;
  34. 34. Il sistema sanzionatorio nel Regolamento  La seconda, fino a 20.000.000 di euro o fino al 4% del fatturato delle imprese, per la violazione dei principi di base del trattamento, dei diritti degli interessati, delle norme sui trasferimenti di dati, delle norme interne per particolari trattamenti, e per l’inosservanza di ordini dell’Autorità.
  35. 35. Il sistema sanzionatorio nel Regolamento Applicazione della sanzione – Linee Guida Il concetto di “equivalenza” (per tutti gli Stati membri) Le misure correttive devono essere: (articolo 83, paragrafo 1)  Effettive  proporzionate  dissuasive Le autorità di controllo sono incoraggiate a ricorrere alle misure correttive con un approccio ponderato ed equilibrato, al fine di reagire in maniera effettiva, dissuasiva e proporzionata alla violazione.
  36. 36. Gravità della violazione Gravità della violazione Gravità della violazione 1 Opera svolta per eliminazione o attenuazione conseguenze violazione Opera svolta per eliminazione o attenuazione conseguenze violazione Opera svolta per eliminazione o attenuazione conseguenze violazione 2 Personalità del contravventore Personalità del contravventore Personalità del contravventore 3 Condizioni economicheCondizioni economicheCondizioni economiche 4 Nella determinazione della sanzione amministrativa pecuniaria fissata dalla legge tra un limite minimo ed un limite massimo e nell'applicazione delle sanzioni accessorie facoltative, si ha riguardo alla: 4 criteri Criteri per l'applicazione delle sanzioni amministrative pecuniarie (art. 11 l. 689/81)
  37. 37. Le sanzioni amministrative sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, o in luogo di tali misure, secondo i seguenti elementi: Nuovi criteri per l’applicazione delle sanzioni amministrative pecuniarie a) natura, gravità e durata della violazione, oggetto o finalità del trattamento, numero di interessati lesi dal danno e sua intensità b) carattere doloso o colposo della violazione c) misure adottate per attenuare il danno subito dagli interessati; d) grado di responsabilità tenendo conto delle misure tecniche e organizzative da essi messe in atto e) eventuali precedenti violazioni commesse f) cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne gli effetti g) categorie di dati personali interessate dalla violazione h) modo in cui l'autorità ha preso conoscenza della violazione, in particolare se è stata notificata la violazione i) rispetto di provvedimenti prescrittivi/inibitori già adottati in precedenza j) adesione a codici di condotta o a meccanismi di certificazione k) eventuali altri fattori aggravanti o attenuanti, ad es. benefici finanziari connessi alla violazione
  38. 38. 39 SANZIONI PENALI
  39. 39. 40 Le conseguenze
  40. 40. Il nuovo sistema sanzionatorio del Codice Art. 167 – Illecito trattamento dei dati Comma 1 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto ovvero di arrecare un danno all’interessato, operando in violazione di quanto disposto dagli art. 123, art. 126 (Dati relativi al traffico telefonico), art. 130 (Comunicazioni indesiderate) o dal provvedimento di cui all’art. 129 (elenco dei contraenti – elenchi pubblici) è punito con la reclusione da sei mesi ad un anno.
  41. 41. Il nuovo sistema sanzionatorio del Codice Art. 167 – Illecito trattamento dei dati Comma 2 procedendo al trattamento dei dati di cui agli artt. 9 e 10 del Regolamento in violazione di cui agli artt. 2-sexsies (dati necessari per motivi di interesse pubblico rilevante) e 2-octies (dati relativi a condanne penali e reati) del Codice o delle misure di garanzia di cui all’art. 2-septies (Misure di garanzia per i dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell’art. 2-quinquiesdecies (Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico) arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni
  42. 42. Il nuovo sistema sanzionatorio del Codice Art. 167 – Illecito trattamento dei dati Comma 3 Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica, altresì, a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45 (Trattamento sulla base di una decisione di adeguatezza), 46 (Trasferimento soggetto a garanzie adeguate) o 49 (Deroghe in specifiche situazioni) del Regolamento arreca nocumento all’interessato.
  43. 43. Il nuovo sistema sanzionatorio del Codice Art. 167 – Illecito trattamento dei dati Comma 4 Il Pubblico Ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. Comma 5 Il Garante, trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento, nel caso in cui emergano elementi che facciano presumere l’esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni di cui al presente decreto.
  44. 44. Il nuovo sistema sanzionatorio del Codice Art. 167 – Illecito trattamento dei dati Comma 6 Quando per lo stesso fatto è stata applicata a norma del presente Codice o del Regolamento a carico dell’imputato o dell’Ente una sanzione amministrativa pecuniaria del Garante e questa è stata riscossa, la pena è diminuita.
  45. 45. Il nuovo sistema sanzionatorio del Codice Art. 167–bis – Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 1 Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde, al fine di trarne per sè ovvero di arrecare un danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli artt. 2-ter (Base giuridica per il trattamento di dati personali effettuato per un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexsies (Trattamento di categorie particolari di dati personali necessario per motivo di interesse pubblico rilevante) e 2-octies (Dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.
  46. 46. Il nuovo sistema sanzionatorio del Codice Art. 167–bis – Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala Comma 2 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè ovvero di arrecare un danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e diffusione.
  47. 47. Il nuovo sistema sanzionatorio del Codice Art. 167–ter – Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o altri ovvero di arrecare un danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
  48. 48. Il sistema sanzionatorio del Codice Art. 168 - Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante 1. Salvo che il fatto non costituisca più grave reato, chiunque in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, con la reclusione da sei mesi a tre anni. 2. Fuori dai casi di cui al comma 1, è punito con la reclusione fino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
  49. 49. Il sistema sanzionatorio del Codice Art. 170 - Inosservanza dei provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) (limitazione provvisoria o definitiva del trattamento, incluso il divieto del trattamento) del Regolamento, dell’art. 2-septies, comma 1, (misure di garanzia disposte dal Garante per il trattamento dei dati genetici, biometrici e relativi alla salute, nonché i provvedimenti di cui all’art. 21, comma 1, del decreto di attuazione dell’art. 13 della legge 25 ottobre 2017, n. 163 (delega del Governo) è punito con la reclusione da tre mesi a due anni.

×