LA SCADENZA DEL 25 MAGGIO PER METTERSI IN REGOLA CON LA PRIVACY
Vi riportiamo le sanzioni in caso di mancato adempimento:
GDPR: le sanzioni amministrative pecuniarie e/o penali
Il GDPR, agli articoli successivi, invece, disciplina le ipotesi per cui è prevista l’applicazione di sanzioni amministrative pecuniarie e/o penali. Per quanto riguarda le prime esse possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:
- violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
- trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
- mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
- violazione dell’obbligo di nomina del DPO;
- mancata applicazione di misure di sicurezza.
L’importo delle sanzioni amministrative pecuniarie può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa nei casi di, a titolo esemplificativo:
- inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
- trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.
Nonostante il GDPR focalizzi la propria attenzione, prevalentemente, sulle violazioni di tipo amministrativo, all’interno del Considerando 149 è stabilito che gli Stati Membri “dovrebbero poter stabilire disposizioni relative a sanzioni penali” come strumento di attuazione e tutela della nuova disciplina, pur sempre in ossequio al principio del ne bis in idem .
All’interno del GDPR è presente anche un margine di discrezionalità circa la possibilità di infliggere una sanzione e la determinazione dell’importo della stessa. Ciò non implica un’autonomia gestionale delle sanzioni in capo alle Autorità nazionali competenti, ma fornisce, a queste ultime, alcuni criteri su come interpretare le singole circostanze del caso. Nello specifico, verranno esaminati di seguito alcuni criteri per la determinazione delle sanzioni amministrative pecuniarie, di cui all’articolo 83 paragrafo 2:
- “la natura, gravità e durata della violazione”;
- “il carattere doloso o colposo della violazione”;
- “il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi”.
Con riferimento al primo criterio, lo stesso regolamento riconosce l’esistenza di diversi massimali per le sanzioni amministrative pecuniarie, i.e. 10 o 20 milioni di euro. Sarà, perciò, compito dell’Autorità nazionale competente valutare le circostanze di specie, alla luce di tali criteri generali, e poi decidere se procedere con una misura correttiva, più o meno severa, sotto forma di sanzione pecuniaria. All’interno del Considerando 148, è offerta all’Autorità nazionale l’opportunità di sostituire la sanzione pecuniaria con un ammonimento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica”. Anche tale inciso dimostra la tendenza del legislatore europeo di incoraggiare l’utilizzo delle sanzioni pecuniarie con un approccio “ponderato” ed “equilibrato”. L’obiettivo ultimo rimane, infatti, quello di incentivare le società al rispetto della privacy by design e privacy by default, affidando lo strumento dell’applicazione di sanzioni pecuniarie così elevate, esclusivamente, al fine di reagire in maniera dissuasiva e proporzionata ad eventuali violazioni.
Con riferimento al secondo criterio, le valutazioni, circa l’esistenza di dolo o di colpa nella condotta, verranno effettuate sulla base di elementi oggettivi e sarà compito della giurisprudenza emergente definire ex ante “linee di demarcazione più chiare per valutare il carattere doloso di una violazione”. Il Working Party ha, tuttavia, già provveduto ad esemplificare alcune condotte che potranno integrare il suddetto carattere doloso. Queste sono riconducibili alle ipotesi di:
- trattamenti illeciti autorizzati esplicitamente dal senior management, ovvero ignorando i pareri formulati dal DPO;
- modifica di dati personali, avente la finalità di fornire un’impressione “fuorviante” circa il conseguimento degli obiettivi individuati;
- vendita di dati, in mancanza di verifica e/o ignorando la scelta liberamente esercitata dagli interessati.
PER avere un preventivo gratuito e sapere quali adempimenti assolvere compila la check list e sarai contattato dai nostri esperti.