Sanzioni privacy, cosa prevede il GDPR

Quali sanzioni rischiano le imprese e i professionisti in caso di controlli e violazioni delle norme del GDPR, regolamento UE sulla privacy? Le sanzioni amministrative legate alla privacy possono arrivare fino a 20 milioni di euro e possono essere pari al 2 per cento o al 4 per cento del fatturato per le imprese.

Nel 2018 ha debuttato il General Data Protection Regulation che ha previsto per tutti gli attori coinvolti la necessità di adeguarsi alle disposizioni UE sulla tutela e sulla protezione dei dati personali.

Le novità del regolamento UE hanno riguardato le sanzioni amministrative in caso di violazioni, mentre sul fronte penale è stata confermata l’applicazione delle regole previste dal Codice della privacy.

In Italia sul rispetto degli adempimenti obbligatori vigila la Guardia di Finanza che collabora con l’Autorità Garante per la privacy sulla base di specifici protocolli d’intesa.

Il regolamento privacy combina le due diverse discipline sanzionatorie penali ed amministrative in caso di violazione o mancato adeguamento al GDPR: effettività, proporzionalità e dissuasività sono i tre criteri chiave per l’applicazione delle sanzioni.

Le regole sulle sanzioni privacy sono disciplinate dagli articoli 83 e 84 del GPDR, le multe vengono applicate in base a quanto previsto dal Regolamento UE ma l’importo è determinato in base alla tipologia di violazione.

Sanzioni privacy: cosa è cambiato con il GDPR

A partire dal 2018, le sanzioni legate alla privacy previste dal GDPR sono determinate in base alla tipologia di violazione compiuta dall’impresa o dal professionista.

I nuovi indirizzi dell’Unione Europea hanno generato una piccola “rivoluzione copernicana” per utilizzare le parole dell’avvocato Fabrizio Cugia, intervenuto all’evento formativo organizzato il 17 settembre 2019 a Roma dall’associazione Hdemia delle professioni Adempimenti sicurezza e privacy.

Una rivoluzione che ha avuto il suo impatto anche sul sistema sanzionatorio. Se in passato si interveniva solo a posteriori, oggi la violazione nasce anche quando l’impresa o il professionista non mette in atto le misure preventive utili a tutelare i cittadini.

Il Regolamento UE ha introdotto importanti novità in materia di trattamento dei dati, consenso, diritto all’oblio e adempimenti.

Gli importi delle sanzioni previsti dal nuovo Regolamento UE sono pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o se l’importo è maggiore possono arrivare fino al 2 per cento o 4 per cento del fatturato.

Il GDPR regola soltanto le sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

• 10 milioni di euro o 2 per cento del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
• 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

• sanzioni penali;
• sanzioni amministrative;
• risarcimento del danno in favore dell’interessato;
• divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Violazioni trattamento dati: sanzioni amministrative dal GDPR e penali dal Codice della privacy

Come anticipato, le sanzioni previste dal GDPR non sono solo amministrative e monetarie ma anche di natura penale.

Prima di tutto è bene sottolineare che gli importi indicati precedentemente rappresentano il massimo della multa applicata in caso di violazione delle regole sulla privacy.

Ogni sanzione per violazione della privacy viene applicata, quindi, in base alla gravità, natura e durata della violazione al GDPR, nonché in base al numero di soggetti coinvolti e al carattere doloso o colposo alla base della violazione contestata.

L’articolo 84 del GDPR prevede che siano gli Stati membri a stabilire le norme sulle altre sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo e pecuniario.

Le sanzioni penali per la tutela della privacy sono disciplinate sulla base delle norme stabilite da ciascuno Stato. Nel caso dell’Italia si continua a far riferimento al Codice della Privacy del 2003 che prevede la reclusione fino a 6 anni e individua 5 tipologie di violazioni:

• trattamento illecito dei dati;
• comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
• acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
• inosservanza dei provvedimenti del Garante.

GDPR, violazioni e sanzioni: i controlli della GDF

Le attività di controllo da parte della Guardia di Finanza, sulla base delle novità introdotte, sono partite col debutto del GDPR il 25 maggio 2018.

Durante il 7° Privacy Day Forum organizzato a Roma proprio nel giorno dell’entrata in vigore del regolamento UE da Federprivacy, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, aveva chiarito i tre punti più caldi al centro delle ispezioni sugli adempimenti obbligatori e fondamentali:

• nomina del DPO, il responsabile della protezione dati;
• controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
• registro dei trattamenti: la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza valuta le misure per la tutela della privacy messe in atto.

Tra la Guardia di Finanza e l’Autorità Garante per la protezione dei dati personali c’è un confronto costante. Il 31 marzo 2021, infatti, le due istituzioni hanno rinnovato il protocollo d’intesa finalizzato a mettere in atto strategie comuni per verificare il rispetto delle norme.

Alla base dei controlli c’è la verifica della capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte.

Si tratta di un nuovo approccio che nasce proprio dalla parola chiave del GDPR: responsabilizzazione. Chi tratta i dati dei cittadini deve essere pienamente consapevole dei rischi e mettere in atto tutte le strategie possibili per evitarle.