Il nuovo Regolamento Privacy realizza una piccola rivoluzione copernicana prevedendo una piena assunzione di responsabilità da parte dell’imprenditore nella gestione dei dati personali.
Analizziamo responsabilità, sanzioni e possibili soluzioni per adempiere alla nuova normativa.
La sicurezza informatica sta velocemente diventando un vero problema di business per le aziende.
Basti pensare che nel 2017 il 47% delle PMI ha subito un attacco informatico che ha provocato ingenti danni in termini economici e di immagine.
In relazione al rischio informatico si possono configurare due grandi tipologie di danni per le aziende:
- Danni materiali ossia i danni (distruzione parziale o totale, furto) subiti da beni materiali (server, fibra ottica, PC, cellulare o altro device elettronico) e direttamente causati da un evento di natura “tradizionale” (incendio, terremoto, fulmine, furto, atto maldestro o doloso, etc.).
- Danni immateriali ossia i danni che colpiscono beni non tangibili, ma comunque funzionali ed indispensabili allo svolgimento di una qualsiasi attività (si pensi all’incendio che brucia il server con il suo contenuto informativo o all’involontaria cancellazione di un database clienti o ordini per azione erronea – anche colposa – da parte di un dipendente addetto alla gestione informatica, o ancora all’azione di un virus o malware).
Questi sono tutti eventi che compromettono l’integrità di un software e/o l’insieme logico di informazioni, ovvero rendono indisponibili dati o servizi aziendali, provocando all’impresa un grave danno in termini economici e di immagine.
Al fine di rendere elevato ed omogeneo il livello di protezione dei dati personali, l’Unione Europea ha introdotto nel 2016 il GDPR, normativa alla quale le imprese si sono dovute adeguare entro il 25 maggio 2018.
Nello specifico, il regolamento impone alle aziende la responsabilità nella protezione dei dati, con l’obbligo di restituirne controllo e titolarità ai privati.
Le aziende che non rispettano le norme del GDPR rischiano di incorrere in pene pecuniarie salatissime e in alcuni casi anche con conseguenze penali.
Sanzioni previste dal GDPR
Il GDPR prevede sanzioni amministrative e penali a seconda della gravità della violazione e delle strategie messe in atto dall’azienda per ridurre al minimo il rischio di perdita dei dati.
Sanzioni Amministrative
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le aziende che non adottino accorgimenti strutturali e formali, non realizzino i registri delle attività di trattamento o che non comunicano la violazione del Data Breach all’Autorità e all’interessato.
- 20 milioni di euro o 4% del fatturato per le aziende, qualora avvengano violazioni ai principi e alle norme che provocano dei danni agli interessati.
Le sanzioni predisposte sono graduali e definiscono un tetto massimo al quale le multe possono arrivare poiché spetterà all’organo competente stabilire l’esatto ammontare.
Sarà infatti valutata la natura, gravità e durata della violazione, se vi è responsabilità dolosa o colposa, quali sono state le misure adottate per limitare il danno, il grado di cooperazione con l’Autorità e la tempestività o meno della notifica della violazione, ma anche quali dati sono stati sottratti, il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti (benefici finanziari, perdite evitate, ecc.).
Sanzioni Penali
Il GDPR prevede anche sanzioni penali qualora si accertasse il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazioni all’Autorità, oltre che l’inosservanza di misure di sicurezza e dei provvedimenti dell’Autorità.
Chi è responsabile dei dati personali in azienda
Sono responsabili e quindi tenuti al risarcimento nel caso di sanzione, il titolare del trattamento (l’impresa) ed il responsabile incaricato.
Il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contraria alle istruzioni del titolare.
Possibili soluzioni per ridurre il rischio di sanzioni e raggiungere la conformità
Il nuovo Regolamento Privacy è permeato dal principio di accountability, ossia la responsabilizzazione del Titolare del trattamento (l’impresa), che dovrà mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia stato effettuato conformemente al Regolamento.
In particolar modo, i dati personali dovrebbero essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Di particolare interesse sono i punti che riguardano i tempi di conservazione (molte sanzioni hanno colpito società che custodivano dati in eterno o oltre i limiti previsti per legge), il fatto che i dati debbano essere trattati sempre e comunque per le finalità per le quali sono stati raccolti e la necessità di approntare misure di sicurezza adeguate.
Quando ridurre i rischi non è sufficiente
Sei il titolare di un’azienda e vuoi tutelarti al meglio?
Il nostro consiglio è di scegliere una polizza Business Security, la soluzione semplice di Tutela Legale che ti garantisce una risposta immediata ai possibili problemi derivanti dalla non conformità della tua impresa con il nuovo Regolamento Europeo in materia di protezione dei dati personali delle persone fisiche.
La soluzione ti garantisce:
- Difesa penale
- Difesa civile
- Ricorso al garante
Inoltre godrai della libera scelta del legale e dei professionisti cui affidare la difesa ottenendo il rimborso di tutti i costi legali, peritali e processuali sostenuti in caso di controversie in materia di Privacy e per fatti inerenti all’utilizzo di strumenti informatici e della rete web.