Sanzioni e GDPR

Il nuovo regolamento per la protezione dei dati, il GDPR 679/2016, ha stabilito sanzioni amministrative particolarmente pesanti in modo da dissuadere eventuali violazioni.

Formalmente possiamo avere due livelli di gravità con relative sanzioni, il primo che individua le sanzioni legate a violazioni di lieve entità che prevedono una sanzione fino a 10 milioni e, nel caso di gruppi societari, fino al 2% del fatturato mondiale annuo;

More...

Il secondo livello, ovvero le violazioni più gravi, prevede sanzioni fino a 20 milioni e, nel caso di gruppi societari, fino al 4% del fatturato mondiale annuo.

Ora sorge una domanda, quali sono i parametri a cui devono far riferimenti i vari Garanti presenti nei singoli paesi dell’unione per stabilire il valore della sanzione?

La normativa prevede che si tenga conto:

  • natura, gravità e durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito
    il dolo o la colpa riscontrati nella violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 (privacy by design e privacy by default) e 32 (sicurezza del trattamento);
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • il rispetto dei provvedimenti di cui all’articolo 58, qualora siano stati precedentemente disposti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto;
  • l’adesione ai codici di condotta o ai meccanismi di certificazione;
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Da quanto detto in precedenza possiamo sintetizzare che, nonostante le cifre indicate possano spaventare molti, queste sono riferite ai massimali senza indicare un valore minimo che potrebbe essere anche 1 euro, questo perché l’obiettivo della commissione era quello di far valutare i singoli casi facendo in modo che le sanzioni siano effettive, proporzionate e dissuasive.

Fabio Pinna

​Sono un Consulente in materia di sicurezza sul lavoro e sistemi di gestione dei dati per medie e grandi aziende private e enti pubblici.

>