Che sanzioni prevede la non conformità al GDPR e quando scattano?
A quali rischi va incontro chi non si adegua alle norme contenute nel GDPR (Regolamento Generale sulla Protezione dei Dati). Le nuove sanzioni introdotte a livello europeo e la continuità con il Codice della Privacy del 2003.
Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR), disciplina, agli articoli 83 e 84, le sanzioni da applicare in caso di violazione della normativa in materia di privacy. Quando si parla di violazioni, è necessario chiarire come il GDPR disciplini esclusivamente le sanzioni amministrative: il regolamento europeo stabilisce infatti, all’articolo 84, che ciascuno Stato disciplini autonomamente le sanzioni penali. Nel caso dell’Italia, infatti, si è scelto di mantenere in vigore le sanzioni penali già previste dal Codice della privacy, emanato nel 2003 e rivisto dal d. lgs. n. 101/2018.
La nuova disciplina prevede che le sanzioni privacy possano arrivare fino a 20 milioni di euro, e colpiscano fino al 2% o al 4% del fatturato annuo delle imprese non conformi. Il testo del regolamento prevede poi che le sanzioni applicate vengano comminate in base ai criteri di effettività, proporzionalità e dissuasività. In Italia, per eseguire i controlli sugli adempimenti obbligatori, oltre a Funzionari dell’Autorità Garante, è stata incaricata la Guardia di Finanza.
Riassumendo, le possibili conseguenze per le imprese che agiscano in violazione del GDPR comprendono:
- sanzioni amministrative;
- sanzioni penali;
- condanna al risarcimento del danno;
- divieto temporaneo di trattamento dei dati personali (fino a che non venga ripristinata una condizione di conformità alla normativa).
Le sanzioni amministrative pecuniarie introdotte dal GDPR
Come già ricordato, il GDPR disciplina nel dettaglio soltanto le sanzioni amministrative, che hanno quindi natura pecuniaria; in particolare, l’articolo 83 del Regolamento UE prevede sanzioni fino a:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese nei casi in cui, per esempio, i dati personali degli utenti vengano trattati in maniera illecita, non venga nominato il DPO , non venga comunicato un data breach all’Autorità garante;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi più gravi, come ad esempio l’inosservanza dei diritti degli interessati o il trasferimento illecito di dati personali ad altri Paesi.
Il GDPR non prevede un valore minimo per la sanzione, che pertanto dovrà essere commisurata dall’Autorità Garante sulla base dei criteri di effettività, proporzionalità e dissuasività.
Sempre l’articolo 83, poi, prevede numerosi criteri che devono orientare il Garante nella quantificazione della sanzione: su tutti, è opportuno segnalare:
- il comma 2, lett. d), dove si afferma che si deve tenere debito conto del “grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32”;
- il comma 2, lett. j), che parla dell’ “adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Elementi, questi, che potranno essere implementati con la collaborazione di un consulente.
Le sanzioni penali
Come accennato, le violazioni delle disposizioni in materia di privacy non comportano soltanto sanzioni amministrative, ma possono dar luogo anche a responsabilità di tipo penale.
L’articolo 84 del GDPR prevede che siano gli Stati membri a disciplinare le sanzioni previste in caso di violazioni che non sono già punite con sanzioni amministrative.
In Italia, come già ricordato, per le sanzioni penali a tutela della privacy si è scelto di mantenere in vigore quanto stabilito dal Codice della Privacy del 2003, ed in particolare dagli articoli 167 e successivi (così come riformati dal d. lgs. n. 101/2018), che disciplina cinque differenti violazioni, punite con sanzioni penali che arrivano fino a sei anni di reclusione:
- trattamento illecito dei dati. Si tratta di un reato comune, nel senso che può essere commesso da chiunque; perché si integri la fattispecie è necessario che ricorra il dolo specifico, cioè la volontà di trattare illecitamente i dati personali al fine di trarne un guadagno economico oppure di danneggiare la vittima. Quando per lo stesso fatto è stata applicata a norma del GDPR una sanzione amministrativa dal Garante e questa sia stata riscossa, la pena viene diminuita;
- comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
- acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
- falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
- inosservanza dei provvedimenti del Garante. È bene precisare che non ogni violazione dei provvedimenti costituisce reato, ma solamente la trasgressione di precisi provvedimenti adottati dall’autorità garante; si tratta, tra gli altri: dei provvedimenti di limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; dei provvedimenti con i quali l’Autorità stabilisce le misure di garanzia funzionali ad autorizzare, ma in senso restrittivo, il delicato campo del trattamento dei dati genetici, biometrici e relativi alla salute. Per tutti gli altri casi, come già abbiamo segnalato, l’inosservanza dei provvedimenti del Garante è punita con una sanzione amministrativa.
I controlli e le ispezioni
L’introduzione del GDPR ha rivoluzionato il sistema sanzionatorio in materia di privacy: mentre in passato si interveniva solo a posteriori, oggi la violazione si riscontra già nel momento in cui l’impresa non metta in atto le misure preventive utili a tutelare i cittadini.
Anche con riferimento alla fase dei controlli, delegati alla Guardia di Finanza, è fondamentale il concetto di accountability, vale a dire “responsabilizzazione” dei titolari del trattamento dei dati: durante le ispezioni, l’azienda avrà l’onere di mostrare cosa è stato fatto, e se qualcosa non è stato fatto dovrà dimostrare le ragioni del mancato adempimento – per esempio, la mancata nomina DPO, un’assente o errata tenuta del Registro.
Prima ancora di dar corso alle attività ispettive, la Guardia di Finanza ha reso noto che avrebbe concentrato i propri controlli con riferimento alle seguenti tematiche:
- nomina del DPO, il responsabile della protezione dati;
- controlli sulle misure previste in caso di data breach;
- controlli sul registro dei trattamenti.
Muovendo proprio dal concetto di responsabilizzazione, il senso dell’ispezione è proprio quello di verificare quali valutazioni e scelte sono state fatte dalle imprese: i titolari e gli incaricati del trattamento dei dati hanno infatti l’obbligo di essere consapevoli dei rischi, e di conseguenza devono mettere in atto tutte le strategie possibili per evitare possibili lesioni degli interessi dei cittadini.
Tutte queste valutazioni, necessariamente “personalizzate” sulla base dell’attività e degli interessi delle singole aziende (o professionisti), possono essere svolte ed approfondite con la collaborazione di consulenti esperti in materia. Conoscere a quali sanzioni si va incontro, è importante. Attrezzarsi per evitarle, però, è decisamente meglio. Per verificare la conformità della tua azienda agli obblighi imposti dalle normative sulla privacy, rivolgiti a chi sta aiutando decine di aziende a lavorare in totale sicurezza e affidabilità: contattaci per un primo incontro.