In caso di violazioni, le sanzioni GDPR, anche molto salate, sono stabilite in base alle strategie adottate dalle aziende per minimizzare i rischi e alla gravità degli attacchi subiti. Un buon motivo perché imprese e PA decidano di mettersi in regola, rispettando un Regolamento europeo concepito per garantire massima protezione ai dati personali. Un adeguamento che non riguarda solo imprese ed enti pubblici degli Stati membri dell’Unione, ma anche organizzazioni extra UE, che forniscono prodotti e servizi in questo territorio. La natura delle sanzioni GDPR è essenzialmente pecuniaria, ma è importante sapere che, in alcuni casi, è possibile incorrere in illeciti penali, anche se non direttamente stabiliti dal Regolamento. Per quanto riguarda le pene pecuniarie, esistono due tipologie fondamentali di sanzioni, determinate in funzione della gravità delle inosservanze. Il loro accertamento sottostà a precisi criteri di valutazione, che non riguardano solo la natura e la durata delle violazioni, ma anche il loro carattere colposo o doloso, il grado di collaborazione con le autorità di controllo e molto altro ancora.
Sanzioni GDPR, il prezzo delle violazioni
Per le violazioni relative alle inosservanze degli obblighi imposti al titolare e al responsabile del trattamento dei dati, le sanzioni GDPR applicate prevedono multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’azienda. Per le violazioni più gravi, le sanzioni GDPR applicate prevedono, invece, multe più salate, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’azienda. Rientrano in questa categoria tutti i casi in cui risultano violati i diritti degli interessati come, ad esempio, inadeguate od erronee informative rilasciate, mancata richiesta del consenso, trasferimenti delle informazioni personali in assenza di liceità o di adeguate garanzie di sicurezza. Le sanzioni più pesanti possono essere applicate anche in caso di inosservanza di un provvedimento, di una limitazione provvisoria o definitiva al trattamento, o di una richiesta di sospensione dei flussi di dati, imposti dal Garante della Privacy.
Piena responsabilità è riconosciuta al titolare del trattamento, che, per non essere perseguito, deve riuscire a dimostrare la non imputabilità dei danni alla sua condotta.
GDPR, le sanzioni penali indirette
Il GDPR ha delegato la definizione delle sanzioni penali agli Stati membri dell’Unione. Per quanto riguarda l’Italia occorre dunque far riferimento al riformato Codice Privacy, che, nelle sue nuove disposizioni, prevede casi penalmente perseguibili. Tra questi: il trattamento illecito di dati personali, la loro diffusione illecita per un trattamento su larga scala, la loro acquisizione fraudolenta, la falsità nelle dichiarazioni al Garante e l’inosservanza dei provvedimenti disposti. Vale la pena sottolineare che l’applicazione delle sanzioni penali non riguarda solo i casi in cui il dolo viene compiuto per procurare un vantaggio per sé o per altri, ma anche in tutti i casi in cui viene commesso per arrecare danno a terzi.
2018, sanzioni GDPR applicate per 8,1 milioni di euro
In Italia nel 2018 le violazioni amministrative contestate dal Garante per la protezione dei dati personali sono state 707, in larga parte relative al trattamento di dati personali senza consenso, alla mancata adozione di misure di sicurezza e a furti di banche dati. Complessivamente le sanzioni pecuniarie riscosse hanno superato gli 8,1 milioni di euro. 150 le ispezioni effettuate nei diversi settori, sia pubblici sia privati. In quest’ultimo, in particolare, gli accertamenti si sono concentrati sul trattamento dei dati effettuati dagli istituti di credito, dalle società di rating, dalle aziende sanitarie locali e dalle società di telemarketing. Per quanto riguarda il settore pubblico, le ispezioni si sono invece focalizzate su Comuni e Regioni, che svolgono il trattamento di dati personali attraverso app per tablet e smartphone, sulle grandi banche dati, sul mondo della fiscalità e sul sistema informativo dell’Istat.