g-docweb-display Portlet

Newsletter del 15/06/2022 - GDPR: consultazione pubblica sulle nuove regole Ue per il calcolo delle sanzioni - Elenchi telefonici: illegittimi quelli non estratti dal Data Base Unico - Bancassurance: è la compagnia assicurativa il titolare del trattamento

Stampa Stampa Stampa

 

 

NEWSLETTER N. 491 del 15 giugno 2022

 


GDPR: consultazione pubblica sulle nuove regole Ue per il calcolo delle sanzioni
Entro il 27 giugno imprese, cittadini e PA potranno inviare le loro proposte

Società private, enti pubblici, associazioni e tutte le persone interessate avranno tempo fino a lunedì 27 giugno per inviare i loro commenti e proposte di modifica alle nuove linee guide, adottate in via provvisoria dall’EDPB (Comitato europeo per la protezione dei dati), sulle sanzioni comminate per le violazioni del GDPR.

Le nuove regole proposte dai Garanti privacy europei hanno l’obiettivo di armonizzare le modalità di calcolo delle sanzioni amministrative, per evitare disparità di trattamento tra un Paese europeo e l’altro.

I Garanti per la protezione dei dati personali europei hanno quindi proposto un aggiornamento delle metodologie adottate, suddividendo le modalità di calcolo in cinque fasi.

Nella prima si stabilisce se il caso in questione riguarda uno o più casi di condotta sanzionabile e se la condotta abbia portato a una o più violazioni.

Nella seconda fase si individua un punto di partenza (quantificabile) per il calcolo della sanzione, tenendo in considerazione la classificazione delle violazioni in base alla loro natura, la gravità della violazione e il fatturato dell’impresa.

Nella terza fase vengono valutati i fattori aggravanti o attenuanti che possono aumentare o diminuire l'importo della sanzione pecuniaria, sulla base di criteri interpretativi armonizzati.

Nella quarta fase viene definito il valore massimo della sanzione, in base alle disposizioni del GDPR, in modo da garantire che tali importi non vengano superati.

Viene infine analizzato se l'importo ipotizzato per la sanzione soddisfa i requisiti di efficacia, dissuasività e proporzionalità previsti dal Regolamento europeo per la tutela dei dati personali. Ad esempio, se la sanzione comminata a una grande multinazionale fosse di valore troppo basso, uguale a quella proposta per una piccola impresa, l’effetto deterrente della sanzione stessa verrebbe vanificato dalla sua scarsa capacità di incidere sul bilancio aziendale. Al tempo stesso, è necessario distinguere i soggetti che hanno commesso un solo errore da quelli che invece continuano imperterriti a violare le norme a tutela dei dati personali degli interessati, come a volte accade nel telemarketing o in altri settori.

La versione finale delle nuove “linee guida sul calcolo delle sanzioni amministrative” sarà definita dai Garanti privacy europei in seno all’EDPB al termine della consultazione pubblica, tenendo conto dei riscontri inviati dagli stakeholder per uniformare le modalità applicative del GDPR in tutta Europa.

 


Elenchi telefonici: illegittimi quelli non estratti dal Data Base Unico
Il Garante sanziona un’azienda per 50.000 euro*


*Il provvedimento è stato impugnato

Gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali.

L’attuale quadro normativo non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU (Data Base Unico), l’archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici e che non siano, quindi, conformi  a quanto stabilito dal Garante (doc. web 1032381) e da Agcom.

È quanto ha ribadito il Garante per la protezione dei dati personali, che ha sanzionato una ditta individuale per 50.000 euro a seguito di diversi reclami e segnalazioni relativi alla divulgazione non autorizzata di dati personali (nominativi, indirizzi, numeri di telefono) nel suo sito web.

I dati personali degli interessati erano stati pubblicati a loro insaputa e i segnalanti ne erano venuti a conoscenza, il più delle volte, cercando il proprio nome su Google.  Gli interessati, inoltre, avevano provato, senza alcun risultato, ad ottenere la cancellazione dei loro dati tramite il form presente nel sito, che non riportava alcun dato che consentisse di individuare il titolare del trattamento, costringendo l’Autorità ad una preliminare attività di indagine volta ad identificarlo tramite l’hosting provider.

Alla richiesta del Garante di fornire chiarimenti il titolare del sito non ha documentato in alcun modo l’origine dei dati pubblicati, ha fornito un laconico riscontro e non ha esibito alcuna documentazione comprovante la cancellazione delle informazioni personali richiesta dai segnalanti. La ditta non ha neanche fornito riscontro alla seconda richiesta di informazioni del Garante, né alla nota di avvio del procedimento, rendendo necessario provvedere alla notifica incaricando il Nucleo speciale privacy della Guardia di Finanza. Le violazioni da parte dell’azienda sono peraltro continuate anche dopo la contestazione e persino dopo le osservazioni difensive della ditta.

Diverse le infrazioni riscontrate, tra cui la diffusione di dati personali in assenza di idonea base giuridica, il mancato rispetto del diritto alla cancellazione, l’inidoneità dell’informativa e la mancata cooperazione con l’Autorità di controllo.

Nel definire l’importo della sanzione amministrativa, il Garante, pur considerando l’attenuante delle dimensioni economiche del titolare quale piccolo imprenditore, ha dovuto tener conto di alcune circostanze aggravanti, tra cui la rilevanza e la durata della violazione, l’elevato numero di persone i cui dati sono stati pubblicati e la negligenza del titolare del trattamento.

 


 

Bancassurance: è la compagnia assicurativa il titolare del trattamento

Nell’ambito dell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, il ruolo di titolare del trattamento deve essere riconosciuto alla compagnia assicurativa, mentre le banche agiscono in qualità di responsabili del trattamento. È quanto stabilito dal Garante della privacy in un parere reso a una società assicuratrice.

La richiesta riguardava la corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che distribuiscono polizze assicurative (bancassurance), tenendo anche conto del trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati), effettuato mediante la raccolta, la gestione, la trasmissione e la conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle compagnie, compresi i questionari anamnestici.

Nell’evidenziare la continuità dell’attuale disciplina in materia di protezione dati personali con il quadro normativo previgente, l’Autorità ha ricordato come al titolare spettino le decisioni su finalità e modalità del trattamento dati, nonché la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto. Il responsabile del trattamento svolge invece le attività delegate dal titolare.

Alla luce del Regolamento IVASS, per il Garante i ruoli ricoperti da compagnia assicurativa e banca intermediaria sono conformi a quelli del rapporto fra titolare e responsabile del trattamento. La banca che colloca prodotti assicurativi, infatti, prima di far sottoscrivere una proposta o un contratto ha l’obbligo di acquisire le informazioni utili a valutare le richieste e le esigenze del titolare. Sono inoltre le stesse compagnie assicurative a impartire a intermediari e dipendenti, le istruzioni idonee all’acquisizione delle informazioni utili e pertinenti alla tipologia di contratto offerto al contraente.

Nel rendere il parere, il Garante ha infine evidenziato la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati.

 

 


 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it