GDPR

GDPR, tutto ciò che c’è da sapere per essere in regola

Ancora nel 2022 molte imprese e PA sono impreparate ad accogliere le novità del GDPR, il regolamento europeo sulla protezione dei dati personali del maggio 2018. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi destreggiare nella rivoluzione

Aggiornato il 03 Mag 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Alessandro Longo

Direttore agendadigitale.eu

gdpr

Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation)  relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. A preoccupare sono, però, gli spazi di autonomia che permangono in capo ai singoli Stati Membri nel disciplinare in maniera più specifica rispetto al GDPR alcuni aspetti non ricompresi nella competenza dell’UE in base al principio di attribuzione. Tale circostanza potrebbe far sorgere contrasti tra le diverse Autorità di controllo nazionali che si trovino ad disciplinare nello specifico e applicare in concreto a livello nazionale le disposizioni del GDPR.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

  • Si introduce il concetto di responsabilizzazione o accountability del titolare;
  • Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
  • Si introducono regole più chiare su informativa e consenso;
  • Viene ampliata la categoria dei diritti che spettano all’interessato;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
  • .

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Per effetto della sentenza della CGUE di luglio 2020, Schrems II,  è stata dichiarata l’invalidità del Privacy Shield ed è stata sollevata anche forte perplessità sul ricorso ai meccanismi previsti dalle SCCs e dalle BCRs per il trasferimento dei dati non solo verso gli Stati Uniti ma verso tutti i Paesi situati fuori dallo Spazio Unico Europeo. Alla fine del 2020 l’EDPB ha elaborato delle raccomandazioni per fornire un supporto ai Titolari nella valutazione dei trasferimenti.

Nel corso del 2022, i negoziati per raggiungere un nuovo accordo tra UE e USA hanno ripreso con nuovo slancio. Sul fronte statunitense si è registrata da parte del presidente Biden l’emanazione di un nuovo executive order che ha previsto degli strumenti rimediali per gli interessati a fronte di accessi illeciti ai dati personali da parte delle autorità di sorveglianza, ma alcune criticità rimangono ancora sul tavolo, come evidenziato dall’EDPB nel parere reso alla Commissione sul nuovo progetto di decisione di adeguatezza. I Titolari del trattamento soggetti al GDPR, pertanto, devono implementare procedure, valutazioni e misure supplementari per garantire la conformità al Regolamento di eventuali trasferimenti di dati al di fuori del SEE.

Gdpr e normativa italiana, il decreto legislativo

In data 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplifica la gestione dei trattamenti e garantisce un approccio uniforme. Le imprese che operano in più Stati Ue possono quindi rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano nazionale Industria 4.0 (ora Transizione 4.0) che permette di investire in merito all’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

Data breach Gdpr

Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.

Per supportare le organizzazioni nella gestione di eventuali violazioni di dati personali, l’EDPB (European Data Protection Board) ha adottato il 14 gennaio 2021 la prima versione delle Linee Guida 01/2021 on Examples regarding Data Breach Notification, successivamente adottate in versione finale il 14 dicembre 2021. Queste Linee Guida forniscono esempi pratici di data breach ed integrano le Linee Guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29 (ora EDPB), queste ultime sono state aggiornate il 28 marzo 2023 con l’adozione formale delle linee guida 09/2022 dell’EDPB.

A livello nazionale il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.

Registro delle attività di trattamento

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, obbligatorio per le imprese che contano almeno o più di 250 dipendenti. Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma scritta, anche elettronica.

Il Registro dei trattamenti è quindi un documento contenente le principali informazioni di cui all’art. 30 del GDPR relative alle operazioni di trattamento svolte sia dal Titolare del trattamento e, se nominato, dal Responsabile del trattamento. Il Garante Privacy, al fine di fornire risposte alle domande più comuni in relazione al Registro, ha elaborato ad ottobre 2018 delle FAQ contenenti le informazioni che devono essere contenute sia nel Registro del Titolare che del Responsabile e le modalità per la sua conservazione e il suo aggiornamento.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte anche alcune fattispecie di illeciti penali.

Clicca qui per analizzare i tuoi cookies e rendere compliant il tuo sito hbspt.cta.load(3901390, ‘310e75f2-2b5f-4274-b72d-b47e87eac084’, {“useNewLoader”:”true”,”region”:”na1″});

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO)incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  3. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale.
  4. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

LEGGI QUI UN APPROFONDIMENTO SU DPO

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Quanto costa il Gdpr per le aziende italiane, quanto sono pronte e consigli per ottimizzare la spesa

Le stime dicono che i costi di adeguamento al GDPR si aggirano intornono ai 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti è arrivata a stimare 2 miliardi di euro. Leggi qui l’approfondimento su costi del Gdpr per le aziende italiane e i consigli per ottimizzare la spesa.

I dodici nuovi diritti per il cittadino con il Gdpr

I cittadini devono conoscere meglio i diritti e gli strumenti che il Gdpr conferisce loro per tutelare i dati personali. Questo articolo è una guida sui nuovi diritti Gpdr per i cittadini ue e in generale l’impatto delle nuove regole su di loro.

I poteri dell’autorità di controllo (Garante privacy)

All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie. Ecco che c’è da sapere sui poteri del garante privacy nel GDPR.

Adeguare la PA al GDPR

Diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO (responsabile trattamento dati) la trasparenza del responsabile trattamento dati e altre misure. Ecco la guida completa per GDPR e PA.

In particolare, le modifiche contenute nel Decreto Capienze all’art. 2ter del Codice Privacy hanno esteso i poteri delle PA di determinare la base giuridica del trattamento individuata non solo dalla legge e dal regolamento, ma anche dagli atti amministrativi generali. Ai fini della compliance, questo comporterà per le PA la necessità di svolgere delle valutazioni interne in relazione alla corretta individuazione della base giuridica e delle finalità del trattamento. Inoltre, l’abrogazione dell’art. 2-quinquiesdecies Codice Privacy, che permetteva il parere preventivo del Garante Privacy in relazione ai trattamenti suscettibili di avere un rischio alto sui diritti e le libertà degli interessati, ha finito per rendere le Pubbliche Amministrazioni più accountable. Le Pubbliche Amministrazioni, infatti, dovranno assumersi il rischio della non conformità delle scelte effettuate sia in termini di liceità del trattamento sia sulla corretta individuazione e implementazione delle misure di sicurezza poste a presidio dei trattamenti e delle istruzioni operative date ai fornitori responsabili del trattamento, come già rilevato dal Garante nel provvedimento sanzionatorio contro Roma Capitale.

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR apre una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

Sul tema della trasparenza grande attenzione è posta alle attività online poste in essere dai titolari del trattamento, anche a seguito della spinta alla digitalizzazione portata dalla pandemia. Sul punto, l’EDPB ha emanato le linee guida sui dark pattern nelle interfacce delle piattaforme di social media, dando istruzioni su come riconoscerle ed evitarle (Linee guida EDPB n. 03/2022). Nell’ambito delle attività delle Autorità di controllo, invece, grande attenzione è stata posta in relazione al design trasparente dei siti web e, in particolare, nella costruzione dei banner per l’installazione dei cookie e ciò in coerenza con la task force creata dall’EDPB che ha pubblicato un report il 17 gennaio 2023.

Buttarelli, GDPR: “Ecco come cambierà il rapporto tra privacy e trasparenza”

GDPR e diritto all’oblio

La vera novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

Sul tema l’EDPB ha elaborato le Linee Guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del GDPR. In particolare, le Linee Guida 5/2019 indicano sia i motivi che un interessato può invocare per chiedere la deindicizzazione a un fornitore di motore di ricerca ai sensi dell’articolo 17, par. 1, del GDPR che le eccezioni al diritto di richiedere la deindicizzazione. Anche in ambito nazionale, il Garante per la protezione dei dati personali si è pronunciato diverse volte in merito alla deindicizzazione di informazioni riferite agli interessati presenti sui motori di ricerca online.

L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITÀ GDPR SUL DIRITTO ALL’OBLIO

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale. Approfondisci qui.

Il codice di condotta per il trattamento dei dati personali

Tra gli strumenti volti a facilitare l’implementazione dei principi di tutela della privacy, l’art. 40 GDPR consente alle associazioni di categoria e ad altri organismi rappresentativi di titolari e responsabili del trattamento di predisporre dei codici di condotta.

Si tratta di strumenti di auto-disciplina, adottati su base volontaria, attraverso i quali rappresentanti e associazioni di categoria possono prevedere regole interne di protezione dei dati personali, al fine di creare uniformità all’interno dello specifico settore e di assicurare il rispetto delle norme del GDPR da parte di titolari e responsabili.

Il controllo della conformità con un codice di condotta ai sensi dell’articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente ai sensi dell’art. 41 del GDPR.

Il 10 giugno 2020, il Garante Privacy ha approvato, con Provvedimento n.98, i requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta. I requisiti erano già sottoposti al prescritto esame dell’EDPB che si è espresso con il parere adottato il 25 maggio 2020.

L’accreditamento degli organismi di monitoraggio costituisce condizione necessaria per l’approvazione di un codice di condotta da parte del Garante. Tali requisiti costituiranno un modello di riferimento per quelle associazioni che intendono sottoporre i loro codici di condotta all’approvazione del Garante privacy.

Con riferimento all’adozione di Codici di condotta, il Garante privacy ha approvato con Provvedimento del 14 gennaio 2021 il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali

Con il Provvedimento n. 127 del 12 giugno 2019, il Garante privacy ha approvato il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali proposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic) e che aggiorna il vecchio Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Allegato A.7 del Codice Privacy).

In questo caso, vengono introdotte una maggiore tutela delle persone censite, la valutazione di impatto sulla protezione dei dati, l’adeguamento alle best practice europee e un nuovo organismo di monitoraggio sulle imprese aderenti al Codice.

Il nuovo codice di condotta garantisce, dunque, la concreta applicazione del principio di accountability introdotto dal GDPR che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Il nuovo testo del codice di condotta consente ora alle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager di trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse.

Le stesse società, però, dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Il nuovo codice di condotta, inoltre, impone ai fornitori aderenti di operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali.

Oltre ad osservare le linee guida, le raccomandazioni e le best practice adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, ogni fornitore dovrà designare, quando previsto, un responsabile per la protezione dei dati (RPD/DPO).

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali istituisce, infine, un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità, che dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

Il 29 aprile 2021 è stata approvata la versione finale del Codice di condotta, modificato e integrato alla luce del completamento della procedura di accreditamento da parte del Garante, alla cui definizione era subordinata l’efficacia del Codice di condotta approvato il 12 giugno 2019.

Codice di condotta per i per i sistemi di informazione creditizia (SIC): nuove regole

Dopo un complesso lavoro di revisione del vecchio “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Allegato A.5 del Codice Privacy), reso inattuale dalle modifiche introdotte dalla normativa europea (GPDR) e nazionale in materia di privacy, il Garante Privacy ha approvato con il Provvedimento n. 163 del 12 settembre 2019 il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (i cosiddetti “SIC”).

La verifica di conformità del vecchio codice di deontologia, demandata al Garante dall’art. 20 del D.lgs. 101/2018 (decreto di adeguamento della normativa nazionale al GDPR), ha dunque portato alla definizione di nuove regole per la tutela dei dati dei consumatori relativi a mutui, prestiti e piattaforme Fintech.

Il nuovo codice, proposto all’Autorità Garante dall’Associazione Italiana Società di Referenza (AISReC), insieme all’Associazione Italiana Leasing e al Consorzio per la Tutela del Credito, include diciannove articoli e quattro allegati.

L’obiettivo della revisione era di regolare il mercato creditizio e quello finanziario per garantirne il corretto funzionamento nell’ottica della data protection. I dati censiti potranno quindi essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai SIC, garantendo però i più ampi diritti previsti dal GDPR.

In particolare, potranno essere trattati solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati. A garanzia di ciò, i modelli di analisi statistica e gli algoritmi di valutazione verranno sottoposti a verifiche e aggiornamenti almeno due volte all’anno.

L’approvazione del nuovo codice di condotta dei SIC, inoltre, ha focalizzato l’attenzione sulle misure di sicurezza da adottare per la protezione dei dati personali degli utenti, al fine di proteggere i dati da accessi illeciti e garantire l’affidabilità dei sistemi.

Le altre novità del codice di condotta dei SIC prevedono, inoltre:

  • diritti rafforzati a tutela della privacy delle persone interessate;
  • l’obbligo di informative più complete sui trattamenti dei dati posti in essere dalle società aderenti;
  • l’istituzione di un organismo di monitoraggio indipendente che vigili sull’operato dei SIC;
  • nuove forme di contatto che, previo accordo con gli interessati, consentiranno di inviare “preavvisi di segnalazione” anche tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna;
  • un’estensione dei dati censiti alle varie forme di leasing, al noleggio, ai prestiti tra privati (peer to peer lending);
  • l’allungamento delle serie storiche positive più lunghe a tutela del credito e per rispondere alle richieste degli organismi di vigilanza: i dati storici positivi sui clienti potranno essere conservati per 60 mesi;
  • un maggiore trasparenza nelle decisioni prese dai sistemi SIC: in caso di negazione del credito sulla base di analisi automatizzate l’interessato potrà richiedere informazioni in merito alla logica di funzionamento degli algoritmi;
  • gli stessi algoritmi, infine, potranno essere “allenati” esclusivamente con dati pseudonimizzati, quindi non più riferibili a un soggetto specifico.

Codice di condotta per le attività di telemarketing e teleselling

Il codice di condotta è stato pubblicato il 23 marzo 2023 e diventerà operativo non appena verrà costituito l’Organismo di monitoraggio del codice che sarà competente a verificare l’osservanza del Codice da parte degli aderenti e a gestire la risoluzione di eventuali reclami.

Le società aderenti al Codice si impegnano ad adottare una serie di misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing. Le regole contenute all’interno del codice mirano a contrastare il fenomeno dei call-center abusivi, oggetto di innumerevoli sanzioni da parte dell’Autorità nei confronti dei titolari che effettuano attività di telemarketing.

Grande attenzione viene posta sulla gestione dei consensi e sui requisiti di validità degli stessi, nonché la previsione di una valutazione di impatto obbligatoria nei casi in cui siano svolti trattamenti automatizzati, compresa la profilazione, che comportano un’analisi sistematica e globale di informazioni personali.

Alcuni esempi di sanzioni Gdpr in Italia

Nel corso del 2022 il Garante privacy ha sanzionato nel mese di marzo, Uber con due sanzioni, ciascuna di 2 milioni e 120 mila euro, nel mese di aprile l’Azienda ospedaliera di Perugia è stata sanzionata in relazione alla mancata compliance nell’implementazione della piattaforma di whistleblowing per 40 mila euro, nel mese di novembre la catena di profumerie Douglas è stata sanzionata per 1 milione e 400 mila euro in relazione alla gestione dei dati dei clienti a seguito delle fusioni e incorporazioni eseguite e, da ultimo, nel mese di dicembre, il Garante Privacy ha comminato una sanzione di 100 mila euro alla Regione Lazio per il controllo illegittimo dei metadati della posta elettronica dei dipendenti in assenza di adeguate tutele per la riservatezza dei lavoratori e in violazione delle norme sul controllo a distanza dei lavoratori.

Nel 2021 il Garante privacy ha sanzionato, alla luce del Gdpr, Fastweb per 4.5 milioni di euro a marzo, Foodinho per 2.6 milioni di euro a giugno e a luglio Deliveroo per 2.5 milioni di euro. Inoltre, a settembre 2021, Sky Italia è stata sanzionata per 3.296.326 milioni di euro per telemarketing illegittimo.

Il Garante Privacy in Italia ha sanzionato alla luce del Gdpr ENI Gas e Luce per 11 milioni e 500 mila euro e TIM per 27 milioni e 800 mila euro, a gennaio e febbraio 2020, per telemarketing illegittimo. Idem Wind 3 e Iliad a luglio 2020 per 17,8 milioni di euro euro e Vodafone Italia a novembre 2020 per 12 milioni e 500 mila euro.

Nel 2019 si segnala solo quella per la piattaforma di voto elettronico Rousseau del M5S (ad aprile, 50 mila euro). Le sanzioni 2019 hanno riguardato perlopiù violazioni a cui si applica normativa antecedente al Gdpr.

New call-to-action

Sanzioni GDPR: criteri e metodologia di calcolo per violazioni alla normativa privacy

Articolo originariamente pubblicato il 21 Gen 2022

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 4