GDPR PRIVACY: Le sanzioni pecuniarie

GDPR Privacy 2018 sanzioni amministrative

Dal 25 maggio entrerà in vigore il nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) in tutti 28 stati membri dell’Unione Europea. Tante sono le novità introdotte da questa nuova normativa, e, fra le tante, un cambiamento significativo si è avuto in materia di sanzioni amministrative pecuniarie.

Sicuramente si può dire che il legislatore europeo ha inasprito l’ammontare delle sanzioni, che scatterebbero in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa, e ha stabilito un metodo di quantificazione diverso per le imprese da quello attuale. Inoltre, accanto alle sanzioni pecuniarie ha sancito anche il diritto al risarcimento dell’interessato.

Cerchiamo di capire meglio l’argomento, in modo tale da prevedere accuratamente tutte le azioni per adeguarsi alla nuova normativa. In questo articolo parleremo di:

Diritto di risarcimento

L’articolo 82 sancisce il diritto al risarcimento: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.

Viene poi distinta la responsabilità del titolare rispetto a quella del responsabile del trattamento: mentre il titolare risponde per il danno cagionato dal suo trattamento che non rispetta il regolamento europeo, il responsabile risponde solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Sia il titolare che il responsabile del trattamento sono esonerati dal risarcimento del danno solo se in grado di provare che hanno fatto tutto quello che la normativa prescrive di fare.

Il legislatore europeo poi sancisce la responsabilità solidale dei due soggetti: se viene accertata la responsabilità di entrambi, il titolare e il responsabile del trattamento, ognuno di loro sarà responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. Questo significa che il titolare del trattamento o il responsabile che ha pagato interamente il danno all’interessato avrà poi il diritto all’azione di regresso verso i titolari o i responsabili del trattamento coinvolti nello stesso trattamento e potrà reclamare la parte di risarcimento corrispondente alla loro parte di responsabilità.

Nella parte iniziale del Regolamento viene poi fatta menzione della tipologia di danno subito dall’interessato che, oltre a vedersi risarcire i danni economici subiti, può chiedere il risarcimento per i danni immateriali. Il “Considerando n° 75“, infatti, fa riferimento a trattamenti che possono causare: discriminazioni, furto o usurpazione d’identità, pregiudizio alla reputazione; la perdita o la distruzione o la divulgazione di dati da cui è possibile risalire alle convinzioni politiche, o a quelle religiose o filosofiche, all’appartenenza sindacale ovvero rischi relativi ai dati genetici, alla salute o alla vita sessuale o a condanne penali e a reati o alle misure di sicurezza; danni a persone vulnerabili, i minori particolare.

Tutti rischi che vanno evidentemente ben oltre la sfera patrimoniale.

Sanzioni amministrative nel GDPR

Le sanzioni amministrative pecuniarie rappresentano un cardine della nuova normativa sulla privacy, in quanto sono una componente importante della totalità degli strumenti di applicazione a disposizione delle autorità di controllo, insieme alle altre misure previste dall’articolo 58 (poteri delle autorità di controllo).

I poteri delle autorità di controllo

E’ bene, a questo punto, fare un cenno ai poteri che vengono attribuiti alle autorità di controllo prima di entrare nel cuore dell’argomento sanzioni. L’articolo 58 dice che ogni autorità di controllo ha poteri di indagine, correttivi, autorizzativi e consultivi.

In particolare, in materia di sanzioni, il legislatore cita espressamente i poteri correttivi nei confronti del titolare o del responsabile del trattamento ossia:

  • rivolgere avvertimenti sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento
  • rivolgere ammonimenti ove i trattamenti abbiano violato le disposizioni del regolamento
  • ingiungere a soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal regolamento
  • ingiungere di conformare i trattamenti alle disposizioni del regolamento, se del caso, in una determinata maniera ed entro un determinato termine
  • ingiungere di comunicare all’interessato una violazione dei dati personali
  • imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento
  • ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali
  • revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma del regolamento, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti
  • infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure qui elencate, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale

Sanzioni amministrative: cosa valutare prima di determinarle

Le sanzioni, che devono essere effettive, proporzionate e dissuasive, sono inflitte, in funzione delle circostanze di ogni singolo caso.
Nel momento in cui le autorità garanti (o le altre autorità o organismi pubblici previste dal diritto dello Stato membro) devono infliggere una sanzione amministrativa occorre tenere presente:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito
  • il dolo o la colpa riscontrati nella violazione
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 (privacy by design e privacy by default) e 32 (sicurezza del trattamento)
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
  • le categorie di dati personali interessate dalla violazione
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione
  • il rispetto dei provvedimenti di cui all’articolo 58, qualora siano stati precedentemente disposti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto
  • l’adesione ai codici di condotta o ai meccanismi di certificazione
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione

Sanzioni amministrative: la quantificazione

La violazione di alcune disposizioni prevede sanzioni amministrative pecuniarie fino a € 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Questa multa è prevista nei seguenti casi:

  • inosservanza degli obblighi generali del titolare e del responsabile del trattamento
  • inosservanza degli obblighi relativi al consenso dei minori
  • inosservanza degli obblighi relativi al trattamento che non richiede l’identificazione
  • inosservanza degli obblighi relativi alle certificazioni

La violazione di altre disposizioni prevede sanzioni amministrative pecuniarie fino a € 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. In particolare queste sanzioni riguardano le seguenti violazioni:

  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso
  • inosservanza degli obblighi relativi all’informativa e ai processi decisionali automatizzati che riguardano le persone fisiche, compresa la profilazione
  • inosservanza degli obblighi relativi ai trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale
  • inosservanza degli obblighi relativi a qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (Disposizioni relative a specifiche situazioni di trattamento)
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2 (poteri correttivi) o il negato accesso ai dati personali quando previsto nel caso dell’esercizio dei poteri di indagine delle autorità di controllo

Il legislatore europeo ha strutturato le sanzioni in modo tale da prevedere una cifra massima oppure l’applicazione, nel caso di imprese, di una percentuale sul fatturato annuo totale da applicarsi, qualora l’ammontare calcolato fosse superiore alla sanzione prevista.

Sicuramente si è voluto evitare che imprese appartenenti a multinazionali o comunque facenti parte di grossi gruppi non osservino il regolamento e considerino le sanzioni amministrative pecuniarie come semplici costi di impresa.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!