Le Sanzioni previste dal GDPR – Regolamento UE 2016/679

Conoscere il regime sanzionatorio previsto per le violazioni in materia di protezione dei dati è molto importante.

Le sanzioni già previste dalla normativa nazionale in materia di privacy sono state modificate ed aumentate dal Regolamento Europeo 2016/679, con una tutela superiore per l’interessato dal Trattamento.

Se vuoi sapere cosa rischiano le imprese e i professionisti, in caso di violazione della normativa, continua a leggere.

L’articolo 83 del Regolamento, circa le condizioni per infliggere sanzioni amministrative pecuniarie, prevede che queste debbano essere effettive, proporzionate e dissuasive, in funzione delle circostanze di ogni singolo caso. Tali sanzioni sostituiscono o si aggiungono alle misure correttive già previste dall’articolo 58, quali avvertimenti, revoche della certificazione, e la sospensione dei flussi di dati verso un paese terzo.

Quali sono i criteri adottati per stabilire l’ammontare della sanzione?

Seguendo il principio della proporzionalità, in base al quale la sanzione deve essere proporzionata alla violazione posta in essere, è necessaria un’analisi del caso concreto della violazione stessa, basandosi sui seguenti criteri:

  • La natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione, nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • Il carattere doloso o colposo della violazione;
  • Le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • Il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
  • Eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • Il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • Le categorie di dati personali interessate dalla violazione;
  • La maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • Qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • L’adesione ai codici di condotta o ai meccanismi di certificazione;
  • Eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Cosa succede se nello stesso Trattamento o in Trattamenti collegati vengono violate più disposizioni del Regolamento?

La domanda sorge spontanea, per capire se vi è un cumulo delle sanzioni o una sanzione diversa per ogni violazione. L’Articolo 83 del Regolamento, stabilisce che se in relazione allo stesso trattamento o a trattamenti collegati, il titolare del trattamento o il responsabile del trattamento viola, con dolo o colpa, diverse disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

Le sanzioni amministrative pecuniarie.

Il Regolamento suddivide le sanzioni amministrative pecuniarie in due raggruppamenti, in base alle diverse tipologie di violazioni. Avremo così una prima serie di violazioni per le quali la sanzione è fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, ed una seconda serie di violazioni per le quali la sanzione è aumentata del doppio.

Sanzioni fino ad euro 10 milioni, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente:

  • Violazioni del Titolare o del Responsabile del trattamento degli obblighi previsti dal Regolamento, in caso di consenso dei minori, trattamento che non richiede identificazione, obblighi relativi alla figura del titolare, contitolare, rappresentante, responsabile, tenuta del registro dei trattamenti, cooperazione con l’autorità di controllo, sicurezza nel trattamento dei dati personali, consultazione preventiva, designazione del responsabile della protezione dei dati, ecc..
  • Violazione da parte dell’organismo di controllo degli obblighi.
  • Violazione di alcuni articoli del D.Lgs. 196/2003 circa cartelle cliniche, certificati di assistenza al parto, informazioni sui dati relativi al traffico, trasferimento automatico della chiamata, comunicazioni per la manifestazione del consenso all’inclusione in elenchi e per l’utilizzo dei dati, trattamento dati che può essere rischioso per l’esecuzione di interessi pubblici, servizi di comunicazione elettronica accessibili al pubblico, ricerca scientifica in campo medico e dati relativi alla salute.

Sanzioni fino ad euro 20 milioni, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

  • Violazione dei principi base del Regolamento e delle condizioni sul consenso al trattamento.
  • Violazione dei diritti degli interessati, come il diritto alle informazioni, comunicazioni, diritto di accesso, di rettifica, alla portabilità dei dati, alla opposizione ed alla cancellazione dei dati.
  • Violazioni in materia di trasferimento dei dati personali a paesi terzi o ad una organizzazione internazionale.
  • Violazione degli obblighi relativi a specifiche situazioni.
  • Violazione di alcuni articoli del D.Lgs. 196/2003 circa informazioni inerenti la salute, la diffusione di dati genetici, emergenze a tutela della salute e dell’incolumità fisica, ecc..

Come inizia il procedimento sanzionatorio?

Il procedimento sanzionatorio è disciplinato dall’Articolo 166 del D.Lgs. 196/2003, ed inizia sempre con un controllo volto all’accertamento della violazione della normativa, l’impulso può partire:

  • Da un reclamo ex articolo 77 del Regolamento.
  • Dall’attività istruttoria propria del Garante.
  • Da ispezioni e verifiche in base ad accertamenti autonomi.

Le presunte violazioni devono essere notificate al Titolare o al Responsabile del Trattamento, i quali hanno diritto ad intentare una prima difesa, inviando al Garante degli scritti difensivi o documenti entro 30 giorni dalla notifica, e chiedendo di essere sentiti.

E’ inoltre previsto un meccanismo premiale, che consente al trasgressore di pagare la metà della sanzione, definendo la controversia entro il termine previsto per la presentazione del ricorso, adeguandosi a quanto prescritto dal Garante.

Le sanzioni penali del GDPR.

Il Regolamento ammette l’introduzione di sanzioni penali da parte degli stati membri. In Italia è rimasto in vigore il D.Lgs. 196/2003 che punisce 

  • il trattamento illecito di dati con la reclusione dai sei mesi ai tre anni, in base alla violazione che viene fatta.
  • La comunicazione e diffusione illecita di dati personali oggetto di trattamento in larga scala viene punita con la reclusione da uno a sei anni.
  • L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala con la reclusione da uno a quattro anni.
  • La falsità nelle dichiarazioni al Garante con la reclusione da sei mesi a tre anni.
  • L’inosservanza di provvedimenti del Garante con la reclusione da tre mesi a due anni.

La sanzione civile nel GDPR.

In aggiunta alla sanzione penale, in alcune circostanze si è obbligati al pagamento della sanzione civile, qualora chi abbia subito un danno derivante dal trattamento illecito dei dati personali, richieda il Risarcimento per il danno subito, sia esso materiale o immateriale.

Per non trovarti impreparato segui i nostri aggiornamenti o richiedi una consulenza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *