Quali sono le sanzioni previste dal GDPR?
Il 25 maggio è ormai alle porte e aumentano i timori sulle sanzioni previste dal temuto GDPR – GENERAL DATA PROTECTION REGULATION (Regolamento UE n. 679/2016 ).
Si è parlato per giorni di una “presunta“ deroga concessa dal Garante per l’applicazione delle sanzioni ma ovviamente si trattava di una fake news.
Vediamo pertanto di fare un po’ di chiarezza sulle sanzioni previste in caso di mancata compliance.
“SANZIONI” GDPR: nello specifico quali sono?
Max 10 milioni o 2% del fatturato
L’art. 83, paragrafo 4, prevede l’applicazione di sanzioni amministrative pecuniarie fino ad un massimo di 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all’esercizio precedente (se si tratta di un importo superiore ai 10 milioni di euro) per la violazione di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui:
- Gli obblighi sanciti per il trattamento dei dati personali riguardanti i minori di 16 anni (art. 8)
- Gli obblighi previsti per il trattamento di dati senza necessaria identificazione dell’interessato (art. 11)
- Gli obblighi relativi alla protezione dei dati personali fin dalla progettazione e per impostazione predefinita (ovvero il rispetto dei principi di privacy by design e privacy by default), alla tenuta dei registri delle attività di trattamento, alla cooperazione con l’autorità di controllo, nonché quelli previsti in materia di sicurezza del trattamento dei dati, di notifica delle violazioni dei dati all’autorità di controllo e all’interessato, così come gli obblighi riguardanti la valutazione d’impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (art. da 25 a 39)
- Gli obblighi relativi ai meccanismi di certificazione della protezione dei dati (art. 42 e 43).
Max 20 milioni o 4% del fatturato
L’art. 83, paragrafo 5, prevede l’applicazione di sanzioni amministrative pecuniarie fino al 4% del fatturato totale mondiale con un tetto massimo di 20 milioni.
L’ammontare indicato è il massimo della pena possibile in caso di gravissime inadempienze e di data breach di portata molto ampia quali la violazione di
- i principi di base del trattamento, comprese le condizioni relative all’espressione del consenso;
- i diritti degli interessati;
- i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale;
- qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate, relative a specifiche situazioni di trattamento;
- l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo o in caso di negato accesso in violazione;
Per non fare del catastrofismo è necessario dire che il Garante ha la discrezionalità di adeguare le sanzioni ai casi concreti potendo scegliere tra prescrizione e sanzione e , comunque nell’applicare la sanzione, potrà tenere conto delle dimensioni del trasgressore alleggerendo la mano sulle PMI.
Allo stesso tempo potrà ben valutare di aggiungere la sanzione amministrativa pecuniaria alle misure di ammonimento per tutti i casi di inerzia totale nella compliance o di recidive.
Danno reputazionale
Oltre alle sanzioni in denaro esiste poi un danno reputazionale. Chi non si è messo in regola con il GDPR potrebbe essere fatto oggetto di esposti specifici al Garante da parte degli interessati che vedono negato il proprio diritto alla riservatezza, che, di conseguenza, possono incidere pesantemente sulla reputazione delle aziende.
Responsabilità civile
Anche il singolo cittadino (o l’azienda) che subisce un danno materiale o immateriale causato da una violazione del Regolamento ha inoltre il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
E’ evidente pertanto che il GDPR cambia l’impostazione dell’apparato sanzionatorio che sarà più pesante di quello attuale ma essendovi la possibilità per il Garante di modulare le sanzioni amministrative in relazione ad una serie di elementi, cio’ che è importante è dimostrare l’avvenuto adeguamento alla normativa privacy mediante la costituzione del “dossier privacy”.
La documentazione delle scelte consente infatti al titolare del trattamento di spiegare perché si è comportato in un certo modo e la linearità della motivazione può rappresentare un elemento utile da far valere davanti a un Giudice e anche davanti all’Autorità di controllo.
Per ogni altro dettaglio o consulenza contattate il nostro studio legale a Cascina (Pisa).