LE SANZIONI PRIVACY NEL NUOVO REGOLAMENTO EUROPEO / by Giampietro Malusa

Tra le caratteristiche salienti del nuovo Regolamento europeo sulla privacy (GDPR – General Data Protection Regulation), la parte sanzionatoria occupa, per l’interesse dei Titolari, un posto sicuramente di rilievo. Il “costo” di una mancata compliance normativa è infatti destinato a salire notevolmente (nei casi più gravi fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato annuo mondiale).

Di seguito le principali novità.

Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le nuove sanzioni amministrative sono disciplinate dagli articoli 79 e 79b del Regolamento.

Ogni autorità di vigilanza (in Italia il Garante della privacy) deve garantire, in ogni singolo caso, che la sanzione sia effettiva, proporzionata e dissuasiva, secondo i seguenti parametri:

  1. la natura, la gravità e la durata della violazione, anche in considerazione del numero degli interessati e
  2. dei danni da questi subiti;
  3. il carattere intenzionale o colposo dell'infrazione;
  4. le azioni intraprese dal Titolare o dal Responsabile per mitigare i danni subiti dagli interessati;
  5. il grado di responsabilità del Titolare o del Responsabile, anche sotto il profilo tecnico, e le misure organizzative attuate per prevenire le violazioni;
  6. eventuali rilevanti violazioni precedenti da parte del Titolare o del Responsabile;
  7. il livello di cooperazione con l'autorità di vigilanza, al fine di porre rimedio alla violazione e mitigarne i possibili effetti negativi;
  8. le categorie di dati personali oggetto della violazione;
  9. l’adesione a codici di condotta o a meccanismi di certificazione riconosciuti;
  10. ogni altro fattore aggravante o attenuante applicabile alle circostanze del caso;
  11. i benefici finanziari ottenuti, o le perdite evitate, direttamente o indirettamente, per effetto della violazione commessa.

Se il Titolare o il Responsabile hanno commesso, intenzionalmente o per negligenza, più violazioni alle disposizioni del Regolamento connesse a una stessa operazione di trattamento di dati personali, l'importo totale della sanzione non dovrà superare l'importo indicato per la violazione più grave.

Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui agli articoli

  • 8 (consenso dei minori),
  • 10 (trattamenti che non richiedono l’identificazione degli interessati),
  • 23 (privacy by design e privacy by default),
  • 24 (cotitolarità del trattamento),
  • 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
  • 26 (Responsabili del trattamento),
  • 27 (istruzioni e autorità del Titolare),
  • 28 (documentazione relativa a ciascun trattamento di dati personali),
  • 29 (cooperazione con l’autorità di vigilanza),
  • 30 (sicurezza del trattamento),
  • 31 (notificazione dei data breach all’autorità),
  • 32 (comunicazione dei data breach agli interessati),
  • 33 (DPIA – Data Protection Impact Assessment),
  • 34 (consultazione preventiva dell’autorità di vigilanza),
  • 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
  • 39 e 39a (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati,  trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'autorità di vigilanza.

Posted in ,   Tags: ,