Sanzioni privacy

Nel 2018 ha avuto piena efficacia il GDPR (General Data Protection Regulation, o Regolamento UE 2016/679) imponendo a tutti gli attori coinvolti (aziende, associazioni, liberi professionisti) di adeguarsi alle nuove disposizioni in materia di privacy e protezione dei dati personali. Una delle novità del regolamento UE riguardano le sanzioni amministrative, mentre sul fronte penale continuano ad applicarsi le regole previste dal Codice della privacy (D.Lgs. 196/2003). Sul rispetto degli adempimenti obbligatori, in Italia, vigila la Guardia di Finanza e la stessa Autorità Garante per la protezione dei dati personali. 

Quali sanzioni rischiano le imprese e i professionisti in caso di controlli e violazioni delle norme del GDPR? 

I criteri per l’applicazione delle sanzioni sono l’effettività, la proporzionalità e la dissuasività: le regole sulle sanzioni privacy sono disciplinate dagli articoli 83 e 84 del GPDR, le multe vengono applicate in base a quanto previsto dal Regolamento UE ma l’importo è determinato in base alla tipologia di violazione. Ogni sanzione privacy dovrà essere applicata, quindi, in base alla gravità, alla natura e alla durata della violazione, nonché in base al numero di soggetti coinvolti e al carattere doloso o colposo della violazione.

Secondo l’art. 83 del GDPR gli importi delle sanzioni previsti dal nuovo Regolamento UE saranno pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o nel caso in cui l’importo è maggiore potranno arrivare fino al 2% o al 4% del fatturato annuo mondiale. Gli importi appena descritti riguarderanno le imprese che, ad esempio, non avranno nominato il DPO (o RPD), non comunichino il Data Breach all’Autorità, non rispettano le condizioni sul consenso dei minori oppure ancora che trattino in maniera illecita i dati personali degli utenti; le sanzioni più “pesanti”, invece, riguarderanno le imprese che, ad esempio, trasferiscono illecitamente dati personali in altri Paesi o non osservano un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni possono incorrere in:

• sanzioni penali;
• sanzioni amministrative;
• risarcimento del danno in favore dell’interessato;
• divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Sanzioni penali dal Codice della privacy

Come anticipato, le sanzioni previste dal GDPR non sono solo amministrative e pecuniarie ma anche di natura penale. L’articolo 84 prevede che siano gli Stati membri dell’UE a stabilire le norme sulle sanzioni penali previste in caso di violazioni. Le sanzioni penali sono disciplinate sulla base delle norme stabilite da ciascuno Stato. Nel caso dell’Italia si fa riferimento al Codice della Privacy che prevede la reclusione fino a 6 anni e individua diverse tipologie di violazioni:

• trattamento illecito dei dati;
• comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
• acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
• inosservanza dei provvedimenti del Garante.

Gianluca Magli