Temi

Shape 5 Live Search

logo

Con l'introduzione del nuovo regolamento europeo in materia di protezione dei dati personali le sanzioni, previste dall'articolo 83 del GDPR, sono state inasprite. 

In base all'articolo 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. Al momento di infliggere una sanzione pecuniaria, l'autorità di controllo dovrà considerare numerosi elementi: 

- la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; 
- il carattere doloso o colposo della violazione; 
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto; 
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; 
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; 
- le categorie di dati personali interessate dalla violazione; 
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; 
- qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 
- l’adesione ai codici di condotta o ai meccanismi di certificazione.

 

Le violazioni

Vi sono due gruppi di violazioni. Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e sono le seguenti violazioni: 

a) obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell'Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43; 
b) obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; 
c) obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano: 

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22; 
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; 
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1. 

Ovviamente va considerato che a tali sanzioni probabilmente si potrebbero aggiungere eventuali azioni di responsabilità nei confronti degli amministratori che non abbiano adottato le misure necessarie previste, o non si siano conformati alle norme. Oltre eventuali azioni per il risarcimento del danno occorso agli interessati. 
Infine, le autorità di controllo hanno il potere di limitare, sospendere o addirittura bloccare un trattamento, con la conseguente impossibilità di fornire i servizi. Cosa che porterebbe ad un danno economico e reputazionale notevole per l'azienda. 

In ogni caso le sanzioni devono essere considerate un'arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. 

 

Eventuali sanzioni penali rientrano nella materia di competenza dei singoli Stati nazionali.