GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

azienda informatica consulenza per gdpr compliance

GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

È passato più di un anno da quando è entrato in vigore il regolamento sulla tutela e sulla protezione dei dati personali, meglio conosciuto come GDPR 2016/679. Da allora, le aziende hanno avuto un anno di tempo per adeguarsi alla normativa europea, nel pieno rispetto dell’accountability, concetto chiave del regolamento.

Dal 25 maggio del 2019, giorno in cui è scaduto il periodo di “tolleranza” per permettere alle aziende di adottare tutte le misure previste dalla nuova normativa e in cui le sanzioni sono state relativamente leggere, le Autorità Garanti hanno iniziato a svolgere una vera e propria attività di controllo, applicando multe salate per il mancato adeguamento al regolamento europeo.

Parliamo del 2% o del 4% del fatturato. Per chi non rispetta le norme del GDPR i rischi sono molto alti. Per questo motivo, avere a fianco un consulente di sicurezza informatica che abbia competenze in materia di GDPR e possa fornirti anche le soluzioni software (e non solo) più adatte per la protezione dei tuoi dispositivi diventa fondamentale per non incorrere in pesanti sanzioni.

In questo articolo, approfondiremo meglio la questione GDPR e sanzioni per aiutare te e la tua azienda a rispettare appieno la normativa.

Sommario dell’articolo:

GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

GDPR e sanzioni di natura amministrativa e penale: di cosa parliamo

Quando si viola il GDPR: attenzione ai rischi

GDPR e sanzioni “su misura”

Come devono comportarsi le aziende in tema di GDPR

Elle Di Ufficio: la tua consulenza di sicurezza informatica a Milano

GDPR e sanzioni di natura amministrativa e penale: di cosa parliamo

Innanzitutto, è bene fare una premessa. Il GDPR non ha fatto altro che introdurre una nuova normativa in materia di tutela e protezione dei dati. Le violazioni del regolamento europeo prevedono sanzioni sia di natura amministrativa che penale, ma c’è una differenza.

Nonostante la normativa europea includa anche le sanzioni sulle violazioni in materia di privacy, disciplinate dagli articoli 83 e 84 del GPDR, si parla sempre di sanzioni di natura amministrativa, non penali.

Secondo l’articolo 84 del GDPR, le sanzioni penali fanno sempre riferimento alla normativa del Codice della Privacy stabilita da ogni Stato membro. In Italia, in particolare, si fa riferimento al Codice della Privacy del 2003, che prevede dure sanzioni penali in caso di trattamento, diffusione, acquisizione fraudolenta dei dati personali e inosservanza dei provvedimenti stabiliti dal Garante della privacy.

Ma quali sono, nello specifico, le violazioni sanzionabili?

Quando si viola il GDPR: attenzione ai rischi

Per le società commerciali le multe possono arrivare fino al 4% del fatturato”, si precisa. Ma i controlli e le sanzioni non risparmiano neppure chi si occupa di marketing e profilazione e, quindi, anche le aziende che trattano quotidianamente dati personali.

Qualsiasi azienda digitalizzata, che gestisca attraverso strumenti informatici dati personali e sensibili quindi, deve prestare la massima attenzione al regolamento, applicare le norme e proteggere questi dati da qualsiasi rischio.

Oggi, non si tratta più soltanto di violazione delle norme, ma anche di mancata applicazione delle misure preventive per tutelare i dati dei clienti o dei consumatori. Il titolare del trattamento dei dati, che spesso coincide con il titolare dell’azienda stessa, ha la piena “responsabilità” di mettere al riparo i propri clienti e/o consumatori da tutti i rischi possibili.

Quando si parla di GDPR e sanzioni, infatti, si fa riferimento proprio al concetto di accountability (responsabilizzazione) e ogni azienda deve fare il possibile per raggiungerla e metterla in atto.

Dal canto loro, le Autorità Garanti di ogni Stato membro applicano un principio, quello del risk based approach, rispondendo con dure sanzioni nei confronti del titolare del trattamento dei dati che non individua “le misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende”.

·        Quali sono le aree di rischio secondo il GDPR? 

Tenendo conto del concetto di risk based approach, il GDPR individua i principali rischi che le aziende devono valutare per poter applicare tutte le misure tecniche e organizzative in materia di protezione dei dati.

In breve, si deve tener conto dei rischi:

  • strategici;
  • operativi;
  • per la continuità dell’attività aziendale;
  • di mancata compliance, ovvero la conformità alle regole stabilite dal GDPR.

Inoltre, esiste un altro tipo di rischio, estremamente importante per le aziende che trattano quotidianamente dati personali. È il rischio privacy. In questo caso, il titolare e responsabile del trattamento potrà essere sanzionato per:

  • distruzione o perdita dei dati, anche se involontaria;
  • accesso non autorizzato di terzi ai sistemi informatici e quindi ai dati personali;
  • modifica dei dati personali determinati da interventi non autorizzati o non conformi alle regole del GDPR;
  • irraggiungibilità dei dati personali per un lungo periodo;
  • trattamento dei dati personali non conforme alle finalità indicate nell’informativa sulla privacy rilasciata a chiunque la sottoscriva.

·        Quali sono le altre violazioni sanzionabili secondo il GDPR?

Abbiamo visto i rischi e le violazioni relative al rischio privacy, ma quali sono le ulteriori mancanze da parte del titolare del trattamento dei dati che determinano l’applicazione delle sanzioni amministrative?

I titolari del trattamento dei dati, ritenuti anche responsabili della protezione dei dati e della tutela degli stessi da qualsiasi rischio, devono prestare la massima attenzione anche a:

  • violazioni delle condizioni applicabili al consenso dei minori relativamente ai servizi della società dell’informazione;
  • trattamento illecito dei dati personali che non richieda esplicitamente all’interessato di essere identificato;
  • mancata o errata notifica o comunicazione di un data breach (violazione dei dati personali) all’Autorità nazionale competente;
  • mancata nomina del DPO (Data Protection Officer), figura di supervisore indipendente che deve essere obbligatoriamente designato dall’azienda;
  • mancata applicazione delle misure di sicurezza previste dal GDPR.

L’importo delle sanzioni può raggiungere i 20 milioni di euro o coprire fino al 4% del fatturato di ogni impresa, in particolare se l’azienda si dimostra refrattaria nei confronti di un ordine, di una limitazione relativa al trattamento, dopo una notifica da parte dell’Autorità competente.

Inoltre, è ritenuto altamente sanzionabile il trasferimento illecito dei dati personali a un destinatario che risiede in un Paese terzo.

GDPR e sanzioni “su misura”

Secondo il principio dell’accountability, ovvero della responsabilità da parte di titolari e responsabili del trattamento dei dati, questi sono tenuti a mettere in atto tutte le misure adeguate, oltre a dimostrare l’efficacia delle misure e della conformità al regolamento.

Eppure, c’è stato un cambiamento relativamente alla valutazione delle misure in materia di privacy. Mentre il più vecchio D.lgs. 196/2003 del GDPR poneva l’accento sull’applicazione delle “misure minime di sicurezza”, il nuovo regolamento parla di “misure adeguate”. Questo significa, in sostanza, che ogni titolare del trattamento dei dati sarà tenuto a verificare le misure corrette da applicare, ma le Autorità di controllo effettueranno una valutazione applicando un approccio “su misura” per ogni singolo caso.

Come devono comportarsi le aziende in tema di GDPR

Ogni azienda è obbligata ad adeguarsi alla nuova normativa GDPR, prestando particolare attenzione ai rischi sulla privacy e al trattamento dei dati personali dei propri clienti.

I rischi, purtroppo, sono all’ordine del giorno. In particolare, è utilizzando strumenti digitali e informatici, o gestendo informazioni e dati personali attraverso sistemi in cloud e/o in rete, che i rischi aumentano ulteriormente.

Da una parte, quindi, è importante applicare le misure adeguate in materia di protezione dei dati personali, dall’altra è fondamentale mettere in sicurezza i dati attraverso i giusti strumenti e software dedicati.

Elle Di Ufficio è specializzata in consulenza informatica su Milano, provincia, Lombardia e zone limitrofe. Il nostro obiettivo è supportare le aziende, guidarle verso una corretta gestione dei dati personali e aiutarle ad adeguarsi al meglio al GDPR per evitare sanzioni significative.

Elle Di Ufficio: la tua consulenza di sicurezza informatica a Milano

L’adeguamento alle norme del GDPR, in vigore da maggio 2018, rappresenta la base per ogni tipo di operazione informatica, soprattutto per le aziende fortemente digitalizzate.

In materia di GDPR e sanzioni, avere al tuo fianco un consulente di sicurezza informatica può davvero fare la differenza.

Oltre a garantirti un supporto costante per l’applicazione delle misure preventive più efficaci per evitare i rischi relativi al trattamento dei dati, possiamo garantirti gli strumenti più aggiornati per mettere in sicurezza i dati della tua azienda.

Grazie alla nostra consulenza, potrai svolgere la tua attività nel totale rispetto delle normative in vigore. Per ulteriori informazioni, contattaci.

Elle di Ufficio

Elle Di Ufficio è un’azienda con esperienza trentennale nel campo della fornitura di servizi e apparecchiature per l’ufficio come computer, stampanti, centralini, mobili. Nasce nel 1987 dall’unione di Office Automation e Information Technology e ha sede nella provincia di Milano

Contatti

Largo Brugnatelli 5/3 20090 Buccinasco (MI)

Telefono 02 45712919
Email info@ellediufficio.it

Orari
Lun - Ven 08:30 - 18:00