Temi

Shape 5 Live Search

logo

Le conseguenze di una violazione delle norme possono essere di diverso tipo, tra le quali anche le sanzioni pecuniarie.

E' importante tenere presente che non è sufficiente rispettare le norme in materia di protezione dei dati personali, ma, in ossequio del principio di accountability, i titolari dovranno dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi, insomma dovranno saper rendere conto di quanto fanno. 

 

Conseguenze di una violazione

In presenza di una violazione si possono avere le seguenti conseguenze: 
- l'autorità di controllo può imporre al titolare delle misure procedurale o tecniche di natura correttiva, da attuare nell'immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti; 
- se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali
- la violazione può portare a danni reputazionali a carico del titolare (es. a seguito di un data breach) con gravi conseguenze sull'attività dell'azienda; 
- una violazione può comportare responsabilità per violazione delle pattuizioni contrattuali con altri titolari o contitolari; 
- può portare all'applicazione di sanzioni amministrative da parte dell'autorità di controllo; 
- può portare all'applicazioni di eventuali sanzioni penali se lo Stato si è avvalso della possibilità di introdurre tali sanzioni all'interno del suo ordinamento, come previsto dal GDPR. 

 

Sanzioni amministrative 

In base all'articolo 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. In base al principio di coerenza, l'intervento delle autorità dovrà essere equivalente tra i vari Stati. 

Al momento di infliggere una sanzione pecuniaria, l'autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l'eventuale importo: 

- la natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente) tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l'autorità può procedere con un semplice avvertimento); ; 
- il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave); 
- se la violazione ha portato un profitto al titolare; 
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto; 
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; 
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; 
- le categorie di dati personali interessate dalla violazione; 
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione
- qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 
- l’adesione ai codici di condotta o ai meccanismi di certificazione.

 

Le violazioni

Il regolamento europeo distingue due gruppi di violazioni.
1) Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano: 

a) inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell'Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43; 
b) inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; 
c) inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

2) Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano: 

a) inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22; 
c) inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; 
e) inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1. 

In ogni caso le sanzioni devono essere considerate un'arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all'azienda, in modo da non costringerla a chiudere l'attività. 

 

Sanzioni correttive

L'autorità di controllo ha il potere di irrogare sanzioni correttive. Essi consistono nel: 
- rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme; 
- rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme; 
- ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
- ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità; 
- imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto; 
- ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali; 
- revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti; 
- infliggere le sanzioni amministrative pecuniarie
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale. 

 

Impugnazioni

I provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all'autorità giudiziaria. 

 

sanzioni