Sanzioni privacy 2019: cosa prevede il GDPR

Anna Maria D’Andrea - Leggi e prassi

GDPR, le sanzioni inserite nel regolamento UE integrano quelle penali già previste dal Codice della privacy. Ecco cosa rischiano le imprese e i professionisti in caso di controlli e violazioni delle norme.

Sanzioni privacy 2019: cosa prevede il GDPR

GDPR, nuovo regolamento UE sulla privacy: quali sono le sanzioni previste?

Lo scorso anno ha debuttato il GDPR, General Data Protection Regulation, imprese e professionisti hanno dovuto adeguarsi alle nuove disposizioni UE in materia di tutela e protezione dei dati personali. Per le violazioni, è bene specificare, si fa riferimento al nuovo regolamento per le sanzioni amministrative, mentre si continua ad applicare quanto previsto dal Codice della privacy sul fronte penale.

A effettuare i controlli è la Guardia di Finanza sugli adempimenti obbligatori.

Una delle novità del GDPR riguarda proprio le sanzioni privacy 2019 che potranno arrivare fino a 20 milioni di euro e saranno pari al 2% o al 4% del fatturato per le imprese.

Il nuovo regolamento privacy combina le due diverse discipline sanzionatorie penali ed amministrative ed in caso di violazione o mancato adeguamento al GDPR le sanzioni applicate dovranno essere calcolate in base ai criteri di effettività, proporzionalità e dissuasività.

Le regole sulle sanzioni privacy sono disciplinate dagli articoli 83 e 84 del GPDR, le multe vengono applicate in base a quanto previsto dal Regolamento UE ma l’importo è determinato in base alla tipologia di violazione.

Sanzioni privacy 2019: cosa è cambiato con il GDPR

A partire dallo scorso anno le sanzioni privacy previste dal GDPR sono determinate in base alla tipologia di violazione compiuta dall’impresa o dal professionista.

I nuovi indirizzi dell’Unione Europea hanno generato una piccola “rivoluzione copernicana” per utilizzare le parole dell’avvocato Fabrizio Cugia, intervenuto all’evento formativo organizzato il 17 settembre 2019 a Roma dall’associazione Hdemia delle professioni Adempimenti sicurezza e privacy.

Una rivoluzione che ha il suo impatto anche sul sistema sanzionatorio. Se prima si interveniva solo a posteriori, oggi la violazione nasce anche quando l’impresa o il professionista non mette in atto le misure preventive utili a tutelare i cittadini.

Il nuovo Regolamento UE comporta importanti novità in materia di trattamento dei dati, consenso, diritto all’oblio e adempimenti.

Gli importi delle sanzioni previsti dal nuovo Regolamento UE saranno pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o se l’importo è maggiore potranno arrivare fino al 2% o 4% del fatturato.

Il GDPR parla soltanto delle sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

  • sanzioni penali;
  • sanzioni amministrative;
  • risarcimento del danno in favore dell’interessato;
  • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Violazioni trattamento dati 2019: sanzioni amministrative dal GDPR e penali dal Codice della privacy

Come anticipato, le sanzioni previste dal GDPR non sono solo amministrative e monetarie ma anche di natura penale.

Prima di tutto è bene sottolineare che gli importi indicati precedentemente rappresentano il massimo della multa applicata in caso di violazione delle regole sulla privacy.

Ogni sanzione privacy dovrà essere applicata, quindi, in base alla gravità, natura e durata della violazione al GDPR, nonché in base al numero di soggetti coinvolti e al carattere doloso o colposo alla base della violazione contestata.

L’articolo 84 del GDPR prevede che siano gli Stati membri a stabilire le norme sulle altre sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo e pecuniario.

Le sanzioni penali per la tutela della privacy sono disciplinate sulla base delle norme stabilite da ciascuno Stato. Nel caso dell’Italia si continua a far riferimento al Codice della Privacy del 2003 che prevede la reclusione fino a 6 anni e individua 5 tipologie di violazioni:

  • trattamento illecito dei dati;
  • comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
  • inosservanza dei provvedimenti del Garante.

GDPR, violazioni e sanzioni 2019: i controlli della GDF

Le attività di controllo da parte della Guardia di Finanza, sulla base delle novità introdotte, sono partite col debutto del GDPR il 25 maggio 2018.

Durante il 7° Privacy Day Forum organizzato a Roma proprio nel giorno dell’entrata in vigore del regolamento UE da Federprivacy, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, aveva chiarito i tre punti più caldi al centro delle ispezioni sugli adempimenti obbligatori e fondamentali:

  • nomina del DPO, il responsabile della protezione dati;
  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
  • registro dei trattamenti: la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza valuta le misure per la tutela della privacy messe in atto.

Alla base dei controlli c’è la verifica della capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. Si tratta di un nuovo approccio che nasce proprio dalla parola chiave del GDPR: responsabilizzazione. Chi tratta i dati dei cittadini deve essere pienamente consapevole dei rischi e mettere in atto tutte le strategie possibili per evitarle.

Questo sito contribuisce all'audience di Logo money.it