L’introduzione del Regolamento Generale sulla Protezione dei Dati nel 2018 è stata una vera e propria rivoluzione per quanto riguarda gli adempimenti relativi a privacy e sicurezza. Chi non si adegua alle nuove regole rischia di andare incontro ad una sanzione GDPR, che può essere sia di stampo amministrativo che di tipo penale. Approfondiamo un po’ l’argomento e scopriamo chi effettua i controlli, a quanto ammonta la sanzione e quando viene comminata.
Violazioni al regolamento sulla protezione dei dati: controlli e conseguenze
I controlli sul rispetto della nuova normativa vengono eseguiti dall’Autorità Garante e dalla Guardia di Finanza. Nel caso in cui vengano rilevate delle irregolarità, chi le ha commesse rischia una sanzione GDPR, la cui entità viene stabilita in base a tre criteri, che sono effettività, proporzionalità e dissuasività.
I soggetti che non rispettano le regole possono andare incontro a quattro tipi di conseguenze: sanzione amministrativa, sanzione penale, condanna al risarcimento del danno e divieto temporaneo di trattamento dei dati personali (che permane fino a quando non c’è un adeguamento a quanto previsto dal regolamento). Va però specificato che il Regolamento Generale sulla Protezione dei Dati disciplina solo le sanzioni amministrative, demandando agli Stati membri la disciplina delle sanzioni penali.
L’entità della sanzione GDPR amministrativa e penale
Le sanzioni GDPR amministrative previste dall’articolo 83 del regolamento europeo fa riferimento alle multe che possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per quelle imprese che trattano in maniera illecita i dati personali degli utenti, ma che salgono fino a 20 milioni o al 4% del fatturato dell’anno precedente per le imprese che commettono violazioni più gravi, come il trasferimento illecito dei dati personali degli utenti ad altri paesi.
Non è previsto un’entità minima della sanzione amministrativa GDPR: come detto, il suo ammontare viene stabilità dall’Autorità Garante in base all’effettività, alla proporzionalità ed alla dissuasività, tenendo conto del grado di responsabilità del titolare o del responsabile del trattamento dei dati e dell’adesione ai codici di condotta ed ai meccanismi di certificazione previsti dal regolamento stesso.
Per quanto riguarda le sanzioni GDPR penali, la loro disciplina è contenuta del Codice della Privacy italiano, che prevede cinque diverse violazioni, ovvero il trattamento illecito dei dati, la comunicazione o la diffusione illecita dei dati personali, l’acquisizione fraudolenta dei dati personali, la falsità delle dichiarazioni all’Autorità Garante e l’inosservanza dei provvedimenti del Garante. Chi si macchia di queste violazioni può andare incontro alla reclusione fino a sei anni.
