Archivio per categoria: Corporate e Governance, Risk & Compliance

Rilasciato, dalla Commissione speciale per gli atti del Governo, parere favorevole allo schema di decreto legislativo di armonizzazione dell’ordinamento italiano al GDPR. Il parere contiene molte richieste di modifica del testo pur confermando il suo impianto generale. In definitiva: nessuna abrogazione integrale del codice della privacy, ma amplissime rivisitazioni, abrogazioni e integrazioni. Il parere si chiude con la richiesta al Garante per la privacy di valutare la possibilità che, in una fase transitoria (non inferiore a 8 mesi) e successiva all’entrata in vigore del decreto legislativo, non siano irrogate sanzioni alle imprese, ma si dispongano solo ammonimenti o prescrizioni di adeguamento alla nuova disciplina. Quali sono le modifiche richieste?
Si rinvia all’articolo allegato per l’approfondimento sul tema.

Ai fini dell’applicazione delle sanzioni amministrative previste dal GDPR, in caso di inadempimento degli obblighi in materia di privacy spetta all’autorità di controllo che accerta l’illecito provare la violazione. In particolare, l’organo accertatore non può limitarsi a compilare un verbale di infrazione generico, ma deve dettagliare in positivo gli elementi della violazione. Di conseguenza si passerà alla concreta individuazione delle condotte perseguite solo a posteriori, dalle motivazioni delle sanzioni irrogate nei casi specifici. Come devono comportarsi i titolari del trattamento dei dati per essere in regola?
Si rinvia all’articolo allegato per l’approfondimento sul tema.
Buona lettura

Il GDPR prevede il diritto all’oblio, che garantisce una tutela più forte rispetto al diritto alla cancellazione dei dati disciplinato dal Codice privacy. Previsto anche il diritto alla portabilità dei dati personali in forza del quale l’interessato ha diritto a ricevere in un formato strutturato e leggibile i dati personali che lo riguardano per trasmetterli ad un altro titolare del trattamento.
L’attuale Codice Privacy prevede il diritto degli interessati alla cancellazione dei dati mentre il nuovo Regolamento UE 2016/679 prevede un diritto ancora più pregnante: il diritto all’oblio.
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Nel caso si verifichi una violazione della sicurezza dei dati, data breach, il GDPR impone al titolare del trattamento di notificare, entro 72 ore, la violazione all’autorità garante per la protezione dei dati personali e di effettuare una comunicazione agli interessati, per informarli dei possibili rischi per la tutela dei propri diritti. Con particolare riferimento alla notificazione, il GDPR impone un contenuto minimo, che comprende le caratteristiche della violazione oggettive e soggettive, l’indicazione del responsabile della protezione dei dati, la descrizione delle probabili conseguenze della violazione medesima, nonché la descrizione delle misure adottate o pianificate per porne rimedio e per attenuare i possibili effetti negativi. Esistono dei casi specifici che esonerano dall’obbligo di notificazione e comunicazione?
Si rinvia all’articolo allegato per l’approfondimento sul tema.
Buona lettura

Dal 25 maggio 2018 è operativo il nuovo sistema sanzionatorio introdotto dal GDPR. Le violazioni ai precetti del Regolamento europeo sono punite con sanzioni pecuniarie amministrative. La tecnica utilizzata costruisce le fattispecie incriminatrici, richiamando l’articolo contenente gli obblighi o i divieti seguito dall’indicazione di un massimo edittale. Sarà l’autorità di controllo a graduare la sanzione nei casi concreti. Due, inoltre, i “livelli” sanzionatori possibili: il primo si applica alle violazioni del titolare e del responsabile del trattamento. Il secondo, il più elevato, concerne le violazioni dei principi di base: cosa prevede?
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura