Se il Garante della Privacy si quotasse in Borsa, io correrei a comprarne le azioni.
30 aprile 2019
GDPR, tra qualche settimana scade il periodo di "tolleranza" del Garante, urgente mettersi in regola.
GDPR, tra qualche settimana scade il periodo di "tolleranza" del Garante, urgente mettersi in regola.
A maggio 2019 termina la flessibilità da parte del Garante della Privacy nella valutazione di adeguamento al GDPR. In vista di questa data le imprese che non l'abbiano ancora fatto è bene che si adeguino.
L’8 settembre scorso è stato emanato il D.Lgs. 101/2018, entrato in vigore il 19 settembre, che contiene Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Data la complessità della materia e le modifiche apportate alla precedente normativa, l’Italia ha voluto alleggerire l’imposizione nei primi otto mesi di decorrenza dello stesso decreto.
Il legislatore italiano ha sostanzialmente obbligato l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso. In caso di controllo, dunque, le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento.
L’8 settembre scorso è stato emanato il D.Lgs. 101/2018, entrato in vigore il 19 settembre, che contiene Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Data la complessità della materia e le modifiche apportate alla precedente normativa, l’Italia ha voluto alleggerire l’imposizione nei primi otto mesi di decorrenza dello stesso decreto.
Il legislatore italiano ha sostanzialmente obbligato l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso. In caso di controllo, dunque, le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento.
Questo periodo di "tolleranza" sta per scadere, e ciò vuol dire che ormai tutte le aziende, nessuna esclusa, devono essere in regola con la documentazione privacy e devono mobilitarsi al fine di rispettare le nuove disposizioni sancite dal legislatore Italiano.
Da maggio 2019 in poi, quindi, le aziende non avranno più modo di giustificare ritardi nella corretta applicazione normativa, dato che, comunque, è già dal 2016 che le aziende avrebbero dovuto iniziare a regolarizzare le loro posizioni rispetto al GDPR.
Le aziende devono comunque impegnarsi e non distogliere l’attenzione dagli obiettivi della nuova privacy, poiché gli adempimenti sono parecchi e alcuni possono richiedere anche dispendiose energie, è meglio approfittare e non farsi cogliere impreparati.
Cedam srl assiste le imprese con un Servizio Privacy, modulato nei costi e negli adempimenti a seconda delle diverse realtà aziendali. Per Contatti:
☎️ 0883 346640 📧 privacy@cedam.it
☎️ 0883 346640 📧 privacy@cedam.it
Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
Dalla Newsletter del Garante del 30/05/2019
Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.
La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.
La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.
29 aprile 2019
04 aprile 2019
Piattaforma Rousseau: dal Garante privacy sanzione di 50mila euro
Il Garante per la protezione dei dati personali con provvedimento n. 83 del 4 aprile 2019 ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli art. 32 del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento.
In effetti il Garante in osservanza a quanto sancito dall’art. 32 del GDPR ha accertato:
- il mancato completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute che configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti gravante sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano;
- la condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, che nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza a carico dei titolari del trattamento. In tal caso, quindi si configura una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.
01 aprile 2019
GDPR: firmata la convenzione tra Garante Privacy e Accredia.
Regolamento Ue e certificazione accreditata in materia dei dati personali
Accredia avrà il compito di attestare - in base alla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012, integrata da “requisiti aggiuntivi” che saranno individuati dal Garante, la competenza e l’adeguatezza degli Organismi che ne faranno richiesta per certificare con maggiori garanzie i servizi di tutela della privacy.
Iscriviti a:
Post (Atom)