Sanzioni Privacy
Il 27 febbraio 2009 è stato convertito in legge (Legge n.14/2009) il decreto "milleproroghe" (n. 207 dello scorso 30 dicembre 2008: Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti) contenente alcune importanti modifiche al decreto legislativo n.196 del 30 giugno 2003 riguardanti le "Disposizioni in materia di tutela della riservatezza" (Art. 44).
La nuova legge agisce su vari fronti:
1.Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per "omessa o inidonea informativa" e per "omessa collaborazione con il Garante". Le pene vengono quasi sempre raddoppiate rispetto alla 196/2003.
Per "omessa o inidonea informativa" (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro.
2.Introduzione di nuove fattispecie di illeciti amministrativi: "violazione delle misure minime di sicurezza e trattamento illecito dei dati" ed "inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto".
Vengono infatti aggiunti due importanti commi all'articolo 162:
•2-bis: In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro.
•2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.
Questo significa che le violazioni più frequenti (violazione della privacy e mancata adozione delle misure minime), precedentemente pressochè impunite per via della "sola" sanzione penale, ora prevedono anche una sanzione amministrativa.
3.Si introduce maggior facoltà di adeguamento delle sanzioni ai singoli casi: da riduzione ai due quinti a maggiorazioni di 4 volte, in funzione dell'entità della violazione e delle possibilità economiche dei soggetti.
----------------------------------------------------------------------
Legge n.14/2009 Art. 44
Art. 44.
Disposizioni in materia di tutela della riservatezza
1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.
1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.
2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».
3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»;
b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»;
c) dopo il comma 2, sono aggiunti, in fine, i seguenti:
«2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 e' escluso il pagamento in misura ridotta.
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».
4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che può essere aumentata» fino alla fine del comma sono soppresse.
5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.
6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».
7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:
«Art. 164-bis (Casi di minore gravità e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e' di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.
2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta.
3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».
8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».
9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:
a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da» fino alla fine del comma;
b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti:
«quarto del massimo della sanzione stabilita per la violazione amministrativa».
10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».
11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.
links:
Dps privacy novità faq del garante
Trattamenti effettuati con strumenti elettronici r...
Dps amministratori di sistema d lgs 196
links:
Dps privacy novità faq del garante
Trattamenti effettuati con strumenti elettronici r...
Dps amministratori di sistema d lgs 196
Commenti
Si tratta di un provvedimento nato da una riflessione del Garante a seguito della valutazione dell’assenza della disciplina per l’amministratore di sistema nel codice previsto dal D.Lgs. 196/03 e che comporta rilevanti novità per coloro che dovranno adempiere a quanto previsto dalla normativa entro e non oltre il 31/03/2010
Ma vediamo nel dettaglio quali sono le principali novità?
SEMPLIFICAZIONE DELLA GESTIONE DELLA PRIVACY
La novità principale riguarda le piccole e medie imprese ( bilancio annuo non superiore ai 10 milioni di euro e numero di dipendenti in numero inferiore a 50 ) che :
•trattano dati personali non sensibili
•trattano come dati sensibili esclusivamente quelli relativi ai propri dipendenti e collaboratori
•trattano dati personali unicamente per finalità amministrative e contabili.
Tali realtà saranno escluse dagli obblighi previsti dal Codice della Privacy e potranno accedere ad una procedura semplificata
OBBLIGHI DOCUMENTALI
Per chi non potrà accedere alla procedura semplificata sarà necessario compilare una serie di documenti :
•Inquadramento effettivo degli amministratori di sistema
•Predisposizione e rilascio delle nomine agli amministratori di sistema con elenco delle funzioni ad essi attribuite. Tali indicazioni dovranno, inoltre, essere riportate in un documento interno all’azienda che dovrà essere costantemente aggiornato.
•Integrazione delle informative ai dipendenti della presenza di amministratori di sistema che potrebbero venire a conoscenza dei dati dei dipendenti stessi.
•L’Informativa dovrà essere rilasciata anche agli Amministratori di sistema, che loggandosi vedranno presenti e trattati anche i propri dati.
CONTROLLO DEGLI ACCESSI E REGISTRAZIONE DEI LOG
Lo storico della loggatura dovrà essere conservato per un periodo non inferiore ai sei mesi
Le registrazioni, infine, dovranno avere caratteristiche di inalterabilità, completezza e possibilità di verifica della loro integrità. Si dovrà, inoltre, indicare il riferimento temporale e l’evento collegato.
In caso di affidamento in outsourcing sarà necessario ricevere la lista degli amministratori di sistema ed un documento contenente le modalità di tutela della privacy che il fornitore intenderà adottare-
Per far fronte a tali novità il Consorzio Infotel ha realizzato il nuovo software per la gestione degli adempimenti previsti dal Codice in materia di protezione dei dati personali integrato con le ultime modifiche normative.
Il prodotto caratterizzato dalla semplicità di utilizzo e da un’interfaccia user friendly sarà disponibile a partire dal 19/01/2010.
Per ricevere maggiori informazioni ed il CD demo del software contattare il Consorzio Infotel telefonando al numero 0828 34.65.01 o inviando una mail a info@consorzioinfotel.it
Come il Garante ha già evidenziato nel provvedimento del 19 giugno 2008 (in Gazzetta Ufficiale 1° luglio 2008, n. 152 e in www.garanteprivacy.it, doc. web n. 1526724), nonché mediante la segnalazione al Parlamento e al Governo in materia di misure minime di sicurezza del 19 giugno 2008, da parte di taluni titolari del trattamento le medesime misure di sicurezza possono essere attuate in modo semplificato, alla luce dell'esperienza applicativa e senza diminuire dal punto di vista sostanziale le cautele volte a prevenire determinati rischi (art. 34, comma 1 bis, del Codice, come introdotto dall'art. 29 cit.).
Sono state pertanto individuate alcune nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B).
L'obiettivo è garantire egualmente un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente amministrativo-contabili. Ciò, sulla base di una dettagliata ricognizione delle singole questioni e di approfondimenti svolti in ordine alle questioni applicative che sono state poste a vario titolo all'attenzione di questa Autorità, in particolare attraverso quesiti e segnalazioni.
Le modalità semplificate elencate nell'unito prospetto potranno essere applicate immediatamente dai soggetti interessati