Questi i temi affrontati dal Garante Privacy nella newsletter del 15 giugno 2022, n. 491.
Calcolo delle sanzioni, al via la consultazione pubblica sulle nuove regole Ue Il Garante Privacy ricorda che entro il 27 giugno, le società private, gli enti pubblici, le associazioni e tutte le persone interessate potranno inviare i loro commenti e proposte di modifica alle nuove linee guide, adottate in via provvisoria dall’EDPB Comitato europeo per la protezione dei dati , sulle sanzioni comminate per le violazioni del GDPR. Le nuove regole proposte dai Garanti privacy europei hanno l’obiettivo di armonizzare le modalità di calcolo delle sanzioni amministrative, per evitare disparità di trattamento tra un Paese europeo e l’altro. Sono 5 le fasi per le modalità di calcolo delle sanzioni individuate dai Garanti per la protezione dei dati personali europei nella prima fase si stabilisce se il caso in questione riguarda uno o più casi di condotta sanzionabile e se la condotta abbia portato a una o più violazioni si individua poi un punto di partenza quantificabile per il calcolo della sanzione, tenendo in considerazione la classificazione delle violazioni in base alla loro natura, la gravità della violazione e il fatturato dell’impresa nella terza fase vengono valutati i fattori aggravanti o attenuanti che possono aumentare o diminuire l'importo della sanzione pecuniaria, sulla base di criteri interpretativi armonizzati viene poi definito il valore massimo della sanzione, in base alle disposizioni del GDPR, in modo da garantire che tali importi non vengano superati infine, viene analizzato se l'importo ipotizzato per la sanzione soddisfa i requisiti di efficacia, dissuasività e proporzionalità previsti dal Regolamento europeo per la tutela dei dati personali. Inoltre, i Garanti ricordano l’importanza di distinguere i soggetti che hanno commesso un solo errore da quelli che invece continuano imperterriti a violare le norme a tutela dei dati personali degli interessati, come a volte accade nel telemarketing o in altri settori. La versione definitiva delle nuove linee guida sul calcolo delle sanzioni amministrative sarà definita dai Garanti privacy europei in seno all’EDPB al termine della consultazione pubblica, tenendo conto dei riscontri inviati dagli stakeholder per uniformare le modalità applicative del GDPR in tutta Europa. Illegittimità degli elenchi telefonici non estratti dal Data Base Unico Il Garante Privacy ha sanzionato una ditta individuale per 50.000 euro a seguito di diversi reclami e segnalazioni relativi alla divulgazione non autorizzata di dati personali nominativi, indirizzi, numeri di telefono nel suo sito web. Diverse le infrazioni riscontrate, tra cui la diffusione di dati personali in assenza di idonea base giuridica, il mancato rispetto del diritto alla cancellazione, l’inidoneità dell’informativa e la mancata cooperazione con l’Autorità di controllo. Alla richiesta del Garante di fornire chiarimenti, il titolare del sito non ha documentato in alcun modo l’origine dei dati pubblicati, né ha esibito alcuna documentazione comprovante la cancellazione delle informazioni personali richiesta dai segnalanti. Le violazioni da parte dell’azienda sono peraltro continuate anche dopo la contestazione e persino dopo le osservazioni difensive della ditta. L’occasione offre il destro all’Autorità di ribadire che gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali l’attuale quadro normativo, infatti, non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU Data Base Unico , l’archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici e che non siano, quindi, conformi a quanto stabilito dal Garante e da Agcom . Bancassurance, la compagnia assicurativa è il titolare del trattamento Nel pronunciarsi su una richiesta riguardante la corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che distribuiscono polizze assicurative bancassurance , il Garante privacy ha stabilito che il ruolo di titolare del trattamento deve essere riconosciuto alla compagnia assicurativa, mentre le banche agiscono in qualità di responsabili del trattamento alla luce del Regolamento IVASS, infatti, i ruoli ricoperti da compagnia assicurativa e banca intermediaria sono conformi a quelli del rapporto fra titolare e responsabile del trattamento. L’Autorità ha inoltre ricordato come al titolare spettino le decisioni su finalità e modalità del trattamento dati, nonché la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto, mentre il responsabile del trattamento svolge le attività delegate dal titolare. Infine, il Garante ha evidenziato la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati.