Sanzioni privacy: cosa prevede il GDPR

Anna Maria D’Andrea - Leggi e prassi

GDPR: quali sanzioni con il nuovo regolamento privacy 2018? Ecco cosa rischiano le imprese e i professionisti in caso di controlli.

Sanzioni privacy: cosa prevede il GDPR

GDPR, riforma privacy 2018: quali sono le sanzioni previste?

Il GDPR è pienamente operativo a partire dal 25 maggio 2018 e per imprese e professionisti sarà fondamentale adeguarsi al nuovo Regolamento UE in materia di tutela e protezione dei dati personali.

I controlli da parte della Guardia di Finanza partiranno da subito sugli adempimenti obbligatori, così come le sanzioni in caso di violazione delle regole previste.

Una delle novità del GDPR riguarda proprio le sanzioni privacy 2018 che potranno arrivare fino a 20 milioni di euro e saranno pari al 2% o al 4% del fatturato per le imprese.

Tuttavia ad oggi è noto soltanto quali sono le sanzioni massime applicate ed ulteriori dettagli saranno disponibili non appena sarà pubblicato il decreto legislativo di adeguamento per il quale, tuttavia, la delega è stata prorogata al 21 agosto 2018.

Il nuovo regolamento privacy combina le due diverse discipline sanzionatorie penali ed amministrative ed in caso di violazione o mancato adeguamento al GDPR le sanzioni applicate dovranno essere calcolate in base ai criteri di effettività, proporzionalità e dissuasività.

Le regole sulle sanzioni privacy previste dal 25 maggio 2018 sono disciplinate dagli articoli 83 e 84 del GPDR e, come sottolineato da Antonello Soro, presidente del Garante per la protezione dei dati personali, le multe saranno applicate in base a quanto previsto dal Regolamento UE ma l’importo sarà determinato in base alla tipologia di violazione.

Ci sono tuttavia molte incertezze su come verranno applicate le sanzioni, anche perché come abbiamo precedentemente anticipato il decreto di adeguamento dovrà stabilire le regole applicate nel periodo transitorio (per tutte le violazioni accertate fino al 21 marzo - anche se si parla di proroga a quelle fino al 21 maggio o oltre).

Ci saranno in pratica due tipologie di sanzioni per il prima e per il dopo GDPR (ovviamente è tutto incerto perché si attende il decreto). Ancora non è per nulla chiaro, inoltre, quali sanzioni penali saranno applicate.

Importanti dettagli sono emersi nel corso del 7° Privacy Day Forum organizzato a Roma il 25 maggio da Federprivacy, durante il quale è intervenuta la Guardia di Finanza.

Sanzioni privacy 2018: cosa cambia con il GDPR dal 25 maggio 2018

A partire dal 25 maggio 2018 le sanzioni privacy previste dal GDPR saranno determinate in base alla tipologia di violazione compiuta dall’impresa o dal professionista.

Il nuovo Regolamento UE comporterà importanti novità in materia di trattamento dei dati, consenso, diritto all’oblio e adempimenti per imprese e professionisti.

Gli importi delle sanzioni previsti dal nuovo Regolamento UE saranno pari ad un massimo di 10 milioni di euro o 20 milioni di euro, multe che per le imprese saranno calcolate in base al fatturato, con importi di massimo 2% o 4% del fatturato.

Il GDPR parla soltanto delle sanzioni amministrative pecuniarie massime applicate in caso di violazione della privacy: l’importo della multa dovrà essere effettivo, graduale e calcolato dal Garante in base al tipo di illecito commesso.

In merito alle sanzioni monetarie, l’articolo 83 del GDPR prevede che l’importo sarà pari ad un massimo di:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

GDPR, sanzioni privacy 2018 non solo amministrative

Come anticipato, le sanzioni previste dal GDPR non saranno solo amministrative e monetarie ma anche di natura penale.

Prima di tutto, tuttavia, è bene sottolineare come gli importi indicati precedentemente rappresentano il massimo della multa applicata in caso di violazione delle regole sulla privacy.

Ogni sanzione privacy 2018 dovrà essere applicata, quindi, in base alla gravità, natura e durata della violazione al GDPR, nonché in base al numero di soggetti coinvolti e al carattere doloso o colposo alla base della violazione contestata.

Sanzioni privacy 2018 di natura penale

L’articolo 84 del GDPR prevede che siano gli Stati membri a stabilire le norme sulle altre sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo e pecuniario.

Le sanzioni penali per la tutela della privacy dovranno perciò essere disciplinate sulla base delle norme stabilite da ciascuno Stato ed è questa una delle (tante) difficoltà di applicazione del GDPR attualmente sottolineate da stampa ed esperti.

Anche in questo caso sarà fondamentale capire quale approccio utilizzerà l’Autorità Garante e quali saranno, a partire dal 25 maggio 2018, le conseguenze previste in caso di mancato rispetto della nuova legge sulla privacy da parte di professionisti e imprese.

Privacy 2018 con controlli da subito: i chiarimenti della GDF

Il 25 maggio 2018 è ufficialmente non soltanto il giorno della nuova privacy ma anche quello in cui partirà l’attività di controllo della Guardia di Finanza e le eventuali sanzioni in caso di violazioni.

Nello specifico, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, durante il Privacy Day Forum, ha chiarito che le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP:

  • nomina del DPO, il responsabile della protezione dati;
  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
  • registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.

Non sarà la Guardia di Finanza ad applicare le sanzioni in caso di violazione delle regole sulla privacy. L’attività ispettiva dovrà essere effettuata di modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR.

Se il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.

Sanzioni privacy e non solo: cosa cambia per i professionisti con il GDPR

La fatidica scadenza è arrivata: da oggi 25 maggio 2018 è operativo il GDPR, che ha portato ad un crescendo di interrogativi non soltanto sulle sanzioni previste dalla nuova privacy, ma anche su quello che effettivamente cambierà, anche per i professionisti.

Alcuni chiarimenti ed indicazioni sono stati forniti dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, che ha pubblicato anche una guida operativa:

  • il GDPR non impatterà su singoli professionisti e studi di piccole dimensioni;
  • per gli studi di grandi dimensioni e con rapporti in ambito internazionale, invece, sarà necessario valutare caso per caso quando sarà necessaria la nomina del DPO (principio di accountability);
  • per i professionisti che operano come associati o in STP sarà la società a dover valutare quali misure adottare per l’adeguamento al GDPR.