Dall'ultima newsletter del Garante Privacy emerge l'avvio di una consultazione pubblica sulle nuove regole UE per il calcolo delle sanzioni per violazioni del GDPR, l'illegittimità degli elenchi telefonici non estratti dal DBU e il ruolo della compagnia assicurativa in tema di bancassurance.
Nuove linee guida EDPB per il calcolo delle sanzioni: aperta la consultazione pubblica
C'è tempo fino al 27 giugno per inviare commenti e proposte di modifica alle nuove linee guida adottate dall'EDPB sul calcolo delle sanzioni per le violazioni del GDPR. I soggetti interessati sono società private, enti pubblici, associazioni ed altri interessati alle nuove regole che hanno quale obiettivo quello di armonizzare le modalità di calcolo delle sanzioni amministrative a livello europeo.
Nello specifico, tali modalità di calcolo si suddivideranno in 5 fasi:
- Nella prima si definisce se il caso riguarda una o più condotte sanzionabili e se esso abbia comportato una o più violazioni;
- Nella seconda si individua e si quantifica il punto di partenza per il calcolo della sanzione;
- Nella terza si valutano fattori aggravanti o attenuanti;
- Nella quarta si definisce il valore massimo della sanzione;
- Nell'ultima fase si analizza se l'importo ipotizzato per la sanzione soddisfa i requisiti di efficacia, dissuasività e proporzionalità oggetto del Regolamento europeo per la tutela dei dati personali.
Ditta sanzionata per la creazione di un elenco telefonico non estratto dal DBU
È costata 50mila euro la sanzione inflitta ad una ditta individuale per via di reclami e segnalazioni giunti per via della divulgazione non autorizzata di dati personali sul proprio sito web.
Gli interessati avevano provato a chiedere la cancellazione dei propri dati ma senza alcun risultato; inoltre, il form presente sul sito non riportava alcun dato che conducesse all'individuazione del titolare del trattamento, dunque il Garante ha dovuto avviare un'indagine preliminare a tal fine.
Inutili le richieste di chiarimenti e nemmeno la prima contestazione dell'Autorità, poiché la ditta sanzionata ha perseverato nella commissione delle violazioni anche dopo.
Come ricorda il Garante Privacy, ad oggi non è consentita la creazione di elenchi telefonici generici non estratti dal Data Base Unico (DBU), dunque non conformi a quanto stabilito dal Garante stesso e dall'AGCOM. Ciò si spiega perché gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali dei soggetti coinvolti.
Bancassurance: il parere del Garante sul ruolo del titolare del trattamento
Il Garante Privacy ha reso un parere a una società in tema di attività di distribuzione di polizze assicurative da parte degli istituti bancari. In particolare, il Garante ha precisato che il ruolo di titolare del trattamento va riconosciuto alla compagnia assicurativa, mentre le banche agiscono quali responsabili del trattamento.
Al titolare, infatti, spettano decisioni inerenti alle modalità e alle finalità del trattamento dati, oltre alla responsabilità generale sui trattamenti che pone in essere essa stessa o altri soggetti a suo conto. Al responsabile del trattamento spettano, invece, attività delegate dal titolare.
In conclusione, l'Autorità ha sottolineato l'esigenza che il ruolo svolto dalla banca nel collocamento delle polizze assicurative sia indicato nell'ambito delle informative fornite agli interessati.