Sanzioni penali e pecuniarie per chi viola il codice privacy

Sanzioni salate in caso di violazioni della privacy. Da quelle pecuniarie a quelle penali. Una delle grandi novità del GDPR riguarda proprio le sanzioni legate alla privacy che potranno arrivare fino a 20 milioni di euro e saranno pari al 2% o al 4% del fatturato per le imprese. Il nuovo regolamento privacy combina le due diverse discipline sanzionatorie penali ed amministrative in caso di violazione o mancato adeguamento al GDPR.
I tre criteri chiave per l’applicazione delle sanzioni sono effettività, proporzionalità e dissuasività. A disciplinarle sono gli articoli 83 ed 83 del Gdpr. L’importo viene determinato in base alla gravità della violazione.
Uno dei punti fondamentali introdotto dall’Unione Europea è la considerazione della mancata prevenzione a tutela dei cittadini. Non più, quindi, solo interventi sanzionatori a posteriori, ma anche per semplici inadempienze che danno comunque luogo ad una violazione. L’articolo 83 prevede un importo pari ad un massimo di 10 milioni di euro o 2% del fatturato annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
Ma imprese e professionisti che violino il Gdpr possono andare incontro, oltre che alle sanzioni pecuniarie, anche a sanzioni penali, amministrative o dover ottemperare ad una richiesta di risarcimento danni e, in ogni caso, avranno il divieto si trattare dati personali finché non avranno posto rimedio alla difformità riscontrata. Ogni sanzione per violazione della privacy dovrà essere applicata, quindi, in base alla gravità, natura e durata della violazione al Gdpr, nonché in base al numero di soggetti coinvolti e al carattere doloso o colposo alla base della violazione contestata. Le sanzioni penali per la tutela della privacy sono disciplinate sulla base delle norme stabilite da ciascuno Stato. Nel caso dell’Italia si fa riferimento, per la categoria degli illeciti penali, al D.lgs. 101/2018 che prevede la reclusione fino a 6 anni e individua le tipologie di violazioni: trattamento illecito dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante; violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
Da quando il Gdpr è entrato in vigore i controlli della Guardia di Finanza sono aumentati. Il Comandante del Nucleo Speciale Privacy della Guardia di Finanza ha chiarito i tre punti più caldi al centro delle ispezioni sugli adempimenti obbligatori: nomina del DPO, il responsabile della protezione dati; controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hard disk e via di seguito); ed infine il registro dei trattamenti: la base da cui la Guardia di Finanza valuta le misure per la tutela della privacy messe in atto.
Alla base dei controlli c’è la verifica della capacità per l’impresa, l’ente o il professionista di saper render conto delle valutazioni fatte.
Si tratta di un nuovo approccio che nasce proprio dalla parola chiave del GDPR: responsabilizzazione. Chi tratta i dati dei cittadini deve essere pienamente consapevole dei rischi e mettere in atto tutte le strategie possibili per evitarle.

Manager Privacy

PRIVACY – DPO (DATA PROTECTION OFFICER)

PRIVACY – Regolamento UE 2016/679 GDPR

PRIVACY – SoggettoIncaricato Trattamento Dati

PRIVACY – SoggettoIncaricato Trattamento Dati Sensibili

Privacy Specialist – GDPR