GDPR: IL SISTEMA SANZIONATORIO

Le Sanzioni rappresentano uno degli aspetti più rilevanti nell’ottica del generale principio dell’armonizzazione delle normative sulla protezione dei dati personali all’interno dell’UE introdotto dal GDPR: per tale ragione le sanzioni amministrative saranno equivalenti in tutti gli Stati Membri, così da assicurare un pari livello di protezione dei dati.

Un ulteriore importante principio è quello che prevede che le sanzioni amministrative, oltre ad essere efficaci e proporzionate, siano anche deterrenti. Saranno quindi le Autorità Garanti, valutando “caso per caso”, a scegliere le misure più appropriate, quali l’applicazione di sanzioni pecuniarie e/o l’adozione di misure correttive (quali ad esempio: la limitazione o la cancellazione del trattamento; la rettifica o la cancellazione di dati personali; la sospensione del trasferimento dati in un paese terzo).

LE SANZIONI AMMINISTRATIVE

L’art. 83 GDPR specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure di prevenzione adottate, nonché ogni eventuale fattore aggravante o di favore, applicabile in base alle circostanze del caso.

Nei casi di minor gravità e privi di rischi significativi per gli interessati, la sanzione potrà risolversi in una mera diffida amministrativa alternativa alla sanzione pecuniaria (c.d. “reprimand”). Invece, qualora dovessero ricorrere delle circostanze di maggiore gravità e/o l’inosservanza delle prescrizioni dell’Autorità Garante, in base alle circostanze specifiche, la pena potrà concretizzarsi in una sanzione pecuniaria fino a 10 mln di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente (se superiore), ai sensi del comma 4 dell’art. 83 GDPR, ovvero fino a 20 mln di euro o fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente (se superiore), ai sensi del successivo comma 5 del medesimo articolo.

Tra le ipotesi più significative di sanzioni fino a 10 mln di euro al 2% del fatturato annuo vi sono: l’inosservanza dei principi di Privacy by Design e Privacy by Default (art. 25), l’inosservanza delle regole relative al registro delle attività di trattamento (art. 30), la mancato cooperazione con l’Autorità di controllo (art. 31), l'inosservanza norme sulla sicurezza dei trattamenti (art. 32), la mancata notifica di data breach (artt. 33 e 34), l’omissione delle valutazioni d’impatto (art. 35).

Invece, tra i più emblematici esempi di sanzioni fino a € 20.000.000,00 o fino al 4% del fatturato annuo vi sono: l’inosservanza delle regole inerenti al consenso (art. 7); le violazioni inerenti ai dati sensibili (art. 9); la violazione degli obblighi informativi (artt. da 12 a 22); la violazione delle norme sul trasferimento dei dati personali in paesi extra UE (artt. da 44 a 49); la violazione delle norme sul trattamento dei dati personali nei rapporti di lavoro (art. 88).

LE RESPONSABILITÀ CIVILI E PENALI

Fermo restando il diritto in capo all’interessato di ottenere il risarcimento civile del danno subito da parte del Titolare o del Responsabile del trattamento ai sensi dell’art. 82 GDPR, dal punto di vista della responsabilità penale, l’art. 84 GDPR stabilisce la competenza dei singoli Stati Membri in tale materia, i quali dovranno pertanto provvedere ad emanare o armonizzare le rispettive normative penali interne.

I SOGGETTI SANZIONABILI

In riferimento ai soggetti coinvolti nelle attività di trattamento dei dati personali, il GDPR conferma la responsabilità, oltre che del Titolare del Trattamento, anche del Responsabile il quale potrà essere chiamato a rispondere delle eventuali violazioni sia in proprio che in solido con il Titolare.

Da ultimo, potrebbero emergere dei profili di responsabilità anche in capo al DPO, il quale sebbene non abbia responsabilità dirette sotto il profilo delle responsabilità da illecito amministrativo, potrebbe tuttavia incorrere in responsabilità di tipo risarcitorio a titolo di rivalsa in favore del Titolare e del Responsabile, che abbiano subito un danno derivante da colpa grave o da grave inadempimento da parte del DPO.

In caso di domande, non esitate a contattare uno dei nostri uffici.