Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by Avv. Matilde Ratti on maggio 3, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quale sistema sanzionatorio è previsto dal Regolamento?

Il Regolamento detta norme specifiche sia sotto il profilo della responsabilità civile, sia sotto il profilo della responsabilità amministrativa. Sono quindi previste regole sia per dirimere il caso in cui un soggetto sia danneggiato dal trattamento effettuato sui suoi dati personali (si pensi alla diffusione illecita di dati personali aventi natura sanitaria), sia per determinare le conseguenze del mancato adempimento da parte del titolare degli obblighi previsti dal Regolamento. Ciò significa che un titolare del trattamento dei dati personali potrà essere chiamato a rispondere sia nei confronti di un privato che ritiene di avere subito un danno per l’illecito trattamento posto in essere, sia nei confronti dell’Autorità garante, che potrà comminare una sanzione amministrativa in caso di violazione delle disposizioni del Regolamento.

Sono previste sanzioni penali?

Il Regolamento non disciplina direttamente il tema della responsabilità penale. Tuttavia, prevede la possibilità per gli Stati membri di introdurre anche sanzioni penali negli ordinamenti nazionali. La delega, però, ha rilevantissimi limiti. Ai sensi del considerando n. 149 del Regolamento il legislatore può introdurre sanzioni penali per le violazioni non soggette a sanzioni amministrative e purché la tutela penale non costituisca una duplicazione della pena in contrasto con il principio del ne bis in idem, caro alla Corte di giustizia europea.

Qual è il tetto massimo previsto per le sanzioni amministrative?

Il Regolamento prevede un tetto massimo assai elevato per le violazioni in materia di protezione dei dati personali. Ad esempio, la sanzione amministrativa potrà arrivare fino a 10 milioni di euro o, se la cifra è superiore, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se non è effettuata la notifica dell’avvenuta violazione dei dati personali o qualora non sia designato il Data Protection Officer. La sanzione potrà anche arrivare a 20 milioni di euro o, se la cifra è superiore, fino al 4% del fatturato mondiale annuo dell’esercizio precedente per le violazioni più gravi. A titolo esemplificativo, è prevista la sanzione con un massimo più elevato per l’inosservanza degli ordini impartiti dall’Autorità garante o per l’illegittimo trasferimento di dati personali in un Paese extraeuropeo.

Quali sono i criteri utilizzati nell’irrogare una sanzione?

Nonostante i tetti massimi previsti per le sanzioni pecuniarie siano assai elevati, occorre precisare che la sanzione amministrativa comminata in concreto dovrà in ogni caso essere proporzionata alla violazione rilevata. In altre parole, nell’irrogare la sanzione amministrativa, l’Autorità garante dovrà necessariamente tenere in conto alcuni indicatori. Ad esempio, dovranno essere considerate la gravità e la durata della violazione, il carattere intenzionale della condotta e gli eventuali benefici finanziari conseguiti a seguito della violazione. Dovranno poi essere tenute in considerazione le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento nonché il grado di cooperazione istaura con l’autorità di controllo al fine di porre rimedio alla violazione e di attenuarne i possibili effetti negativi

Cosa è previsto in materia di responsabilità civile?

Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di domandare il risarcimento del danno al titolare o al responsabile del trattamento. Tuttavia, il responsabile del trattamento non risponde in ogni caso del danno provocato, ma solo se non ha adempiuto agli obblighi a questi specificatamente diretti dal Regolamento o se ha agito in modo difforme rispetto alle istruzioni impartite dal titolare del trattamento. Qualora più soggetti siano responsabili dell’eventuale danno causato dal trattamento dei dati personali, ognuno di questi sarà tenuto a corrispondere l’intero risarcimento al danneggiato, salvo il diritto a rivalersi sugli altri danneggianti in un secondo momento.

Quali sono i rimedi posti a disposizione dell’interessato?

L’interessato che ritenga che il trattamento che riguarda i suoi dati personali violi il Regolamento può proporre reclamo all’Autorità garante. In particolare, l’interessato potrà rivolgersi sia all’Autorità garante dello Stato membro in cui risiede, sia all’Autorità garante del luogo dove si è verificata la violazione. Così, ad esempio, l’interessato che risiede in Italia potrà proporre reclamo al Garante italiano o potrà rivolgersi all’Autorità garante dello Stato in cui ha subito la violazione. Il provvedimento emesso dall’Autorità garante potrà essere oggetto di ricorso. Le parti coinvolte dalla decisione potranno infatti proporre ricorso contro la decisione dell’Autorità garante dinanzi alle autorità giurisdizionali dello Stato membro in cui è stabilito il Garante che ha emesso la decisione.

Inoltre, la persona fisica che ritiene che un titolare o un responsabile abbia violato i suoi diritti può promuovere un’azione anche direttamente dinanzi all’Autorità giurisdizionale. L’interessato potrà intraprendere l’azione nello Stato membro in cui il titolare o il responsabile hanno uno stabilimento o, alternativamente, nel luogo in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di un altro Stato membro nell’esercizio dei pubblici poteri.

Con quali modalità può agire l’interessato?

L’interessato può agire per la tutela dei suoi diritti in modo autonomo o può scegliere di farsi rappresentare da un’organizzazione o da un’associazione in giudizio. L’associazione o l’organizzazione dovrà però avere “obiettivi statutari” di pubblico interesse e dovrà risultare attiva nel settore protezione dei dati personali.

posted by Avv. Matilde Ratti on ottobre 13, 2015

identità digitale

(No comments)

Di seguito si riassume la normativa sullo SPID.

Cos’è SPID?

Il Sistema Pubblico per la gestione dell’Identità Digitale (SPID) è un insieme aperto di soggetti pubblici e privati che, previo accreditamento, gestiscono i servizi di registrazione e di messa a disposizione di credenziali di identità digitale per cittadini e imprese.

A cosa serve?

L’istituzione di questo sistema è diretta a favorire la diffusione di servizi in rete e ad agevolare l’accesso ai servizi da parte degli utenti. Lo SPID è quindi il nuovo sistema che permette a cittadini e imprese di accedere ai servizi on line di pubblica amministrazione e privati.

Quando diventerà attivo SPID?

Mentre le pubbliche amministrazioni saranno obbligate a consentire l’accesso in rete ai propri servizi mediante l’identificazione SPID (entro 24 mesi dall’accreditamento del primo gestore), per imprese e altri soggetti privati fornitori di servizi l’adesione al sistema sarà solo facoltativa.

Cos’è un’“identità digitale”?

Secondo l’art. 1, comma 1, lett. o) del d.p.c.m. 24 ottobre 2014, l’identità digitale SPID è “la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi”.

Chi può fornire un’“identità digitale” SPID?

Cittadini e imprese possono domandare il rilascio dell’identità digitale ad un gestore dell’identità digitale accreditato presso l’Agenzia per l’Italia Digitale.

Come si ottiene l’identità digitale SPID?

Il rilascio dell’identità digitale segue quattro fasi distinte: la presentazione della richiesta di adesione, l’identificazione del soggetto richiedente, la verifica dell’identità dichiarata e infine la creazione dell’identità digitale con la consegna, al titolare, delle credenziali necessarie per le operazioni di autenticazione.

Quanto è sicuro SPID?

Esistono tre livelli d’identità SPID, ciascuno dei quali determina il livello di sicurezza dei servizi on line ai quali è possibile accedere. Cittadini e imprese sono liberi di scegliere il gestore di identità che preferiscono, nonché di fare richiesta per più di una identità SPID.

Chi può diventare gestore di identità digitale?

I soggetti pubblici o privati che desiderino diventare gestori di identità digitali possono, dal 15 settembre 2015, fare richiesta di accreditamento presso l’Agenzia per l’Italia Digitale. Quest’ultima, a seguito della verifica di determinati requisiti di affidabilità e idoneità organizzativa, tecnologica e finanziaria, accrediterà o meno i soggetti iscrivendoli in un Registro SPID.

Avv. Matilde Ratti

Maria Chiara Meneghetti