Italiano
The regulatory framework related to privacy law, currently, is particularly complicated; this is due to the difficulty to interpret and apply a normative system composed by Reg. UE 679/2016 (GDPR), the new legislative decree D.lgs 101/18 and the Legislative Decree 196/2003 as amended by the new rules and the legislative decree n. 51 of 18 May 2018, important for the purpose of a correct interpretation and application of the Decree to adapt it to the GDPR.
Il quadro normativo relativo alla privacy, al momento, è particolarmente complesso; ciò è dovuto dall’attuale apparato normativo composto dal Reg. UE 679/2016, dal nuovo decreto legislativo di adeguamento D.lgs 101/18 e dal D.lgs 196/2003, come modificato dalla nuova normativa, e dal decreto legislativo n. 51 del 18 maggio 2018 (importante ai fini di una corretta interpretazione e applicazione del decreto di adeguamento al GDPR); ciò comporta necessariamente molte difficoltà di coordinamento per chi debba ora interpretare ed applicare lo stesso.
È probabile che un sistema normativo così articolato finisca per creare difficoltà dal punto di vista interpretativo e applicativo, dando luogo a ricorsi che, secondo quanto previsto dall’art. 80 del GDPR, sarà possibile presentare sia al Garante Privacy che all’Autorità giudiziaria ordinaria.
Tale difficoltà potrà essere superata se si deciderà di pubblicare una versione del D.lgs n. 193 del 2003 coordinata col nuovo testo normativo. Il problema è che la delega dell’art. 13 della l. n. 163 del 2017 non prevede la possibilità per il Governo di adottare uno o più decreti correttivi entro il primo o il secondo anno dall’entrata in vigore di questo decreto.
Perciò, allo stato, senza una nuova delega al Governo, non potremo avere un nuovo decreto di coordinamento fra il vecchio testo del d.lgs. n.193 del 2003 e il testo del decreto legislativo 101/18.
Ciononostante, se da un lato in Italia l’art 22 punto 13 del D.lgs. 101/18 avrebbe introdotto un periodo di moratoria di 8 mesi dall’entrata in vigore del decreto stesso che riguarda non l’esercizio dell’attività ispettiva e del potere sanzionatorio del Garante in sé ma la valutazione ex lege di attenuanti applicabili al caso concreto che deve essere fatta a monte dall’Autorità nazionale, ( previsto ex art. 83, comma 2, lettera K del Regolamento), dall’altro sono già noti a livello europeo casi di erogazione delle prime “maxisanzioni” così come previste ex art. 83[1] del GDPR.
Si riportano le seguenti a titolo esemplificativo:
- Portogallo: la commissione nazionale per la protezione dei dati ha erogato a una struttura ospedaliera nazionale la sanzione di ben 400 mila euro. Alcuni controlli hanno permesso di scoprire che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziando come infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità e senza necessità i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero.
- Germania: il Garante tedesco ha sanzionato un’azienda tedesca che, dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi, è stata multata con una sanzione di 20 mila euro. Era accaduto che il soggetto agente, oltre ad aver sottratto le credenziali utente comprensive di password, le aveva anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.
- Austria: il Garante austriaco, ha erogato, a seguito di una ispezione, una sanzione di 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo errato, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo i passanti senza alcuna giustificata motivazione e senza informare con apposita cartellonistica.
- Italia: il Garante per la privacy ha irrogato una sanzione da 960 mila euro, per violazione della privacy, nei confronti di Tim. La prima sanzione, di importo pari a 800 mila euro, è arriva a conclusione di un procedimento avviato su reclamo di un utente. Tale soggetto si era ritrovato intestatario, a sua insaputa, di ben 826 linee di telefonia fissa, e per di più moroso; solo nel momento in cui ha cominciato a ricevere solleciti di recupero crediti per mancato pagamento delle bollette, è venuto a conoscenza delle centinaia di utenze registrate a suo nome. Le verifiche svolte dall’Autorità hanno accertato che l’assegnazione di tutte quelle utenze telefoniche ad un’unica persona risultava ingiustificata.
La seconda sanzione, pari a 160 mila euro, riguarda invece un caso di data breach. Il malfunzionamento di un sistema di autenticazione aveva comportato la visualizzazione di dati di altri clienti da parte di chi intendeva avvalersi dei servizi di assistenza on line. Risultavano visibili il numero di telefono, il credito residuo, l’indirizzo e-mail e anche le ultime quattro cifre della carta di credito, se inserite. L’errato abbinamento dell’utenza ai dati corrispondenti dava perciò luogo a una illecita comunicazione di dati personali agli altri abbonati, persone non legittimate ad accedere a quelle informazioni.
Infine ulteriore elemento da tenere in considerazione è la circostanza che, secondo come è stato strutturato l’apparato sanzionatorio penale con il D.lgs 101/2018, le imprese non dovranno limitarsi solamente ad adottare misure di sicurezza per proteggere i dati personali, ma dovranno anche svolgere attività di due diligence, ovvero dovranno controllare costantemente la liceità dei trattamenti che intendono effettuare, le finalità per le quali i dati sono stati raccolti, e talvolta al fine di garantire una corretta applicazione della privacy aziendale dovranno avvalersi di professionisti esterni dovutamente qualificati.
In conclusione occorre dire che tale situazione è destinata a rimanere complessa ancora per un periodo di tempo piuttosto lungo; sicuramente fino a quando non si farà chiarezza, è fuori discussione che il pilastro portante, dell’apparato normativo sulla privacy, sia costituito dal GDPR Reg UE. 679/2016.
Carlotta Pasanisi ed Emanuela Radicati di Primeglio
[1] 1. Art 83 Reg. UE 679/2016: “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
- Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica”.
