Sanzioni civili e penali, cosa si rischia? (Parte 1)

Sanzione civile e sanzione penale

Quali le conseguenze di inadempimento GDPR?

In caso di inadempimento a quanto previsto in tema di protezione dei dati e implementazione di quanto stabilito dal Regolamento UE 679/2016, il sistema sanzionatorio contempla sia sanzioni amministrative che penali.

Le sanzioni amministrative vengono individuate su due livelli: primo e secondo.

Sanzioni amministrative di primo livello

Fino ad un massimo di 10.000.000 Euro, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Sanzioni amministrative di secondo livello

Fino ad un massimo di 20.000.000 euro, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Il D.Lgs. n.101/2018 disciplina le sanzioni penali prevedendole in caso di:

  • trattamento illecito di dati personali
  • comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
  • acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
  • falsità nelle dichiarazioni al Garante e interruzione dell’esercizio dei compiti o dell’esercizio dei poteri del Garante
  • inosservanza dei provvedimenti del Garante
  • violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori

Regolamento UE 679/2016

All’Art. 83 del Regolamento vengono indicati i criteri per determinare l’applicazione della sanzione civile:

  • natura, durata e gravità della violazione, tenendo in considerazione la natura, l’oggetto e la finalità del trattamento, nonchè il numero di interessati coinvolti e il livello del danno da essi subito
  • il carattere doloso o colposo della violazione
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
  • il grado di responsabilità del titolare del trattamento e del responsabile del trattamento, tenendo conto delle misure tecniche e organizzative da essi messe in atto per prevenire episodi di data breach e ridurne le conseguenze
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile
  • livello di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
  • categoria di dati interessati dalla violazione
  • modalità con cui l’Autorità di controllo ha preso conoscenza della violazione, in particolare se è avvenuta o meno la notificazione
  • mancato rispetto di un correttivo emanato dall’Autorità di controllo
  • adesione ai codici di condotta o a meccanismi di certificazione
  • altri fattori aggravanti o attenuanti applicabili alle circostanze del caso specifico

Proteggere i dati delle persone è un obbligo

Chiarire le possibili conseguenze in caso di inadempimento rappresenta solo un aspetto.

Più significativo è comprendere che l’adempimento rappresenta un’opportunità e una protezione per il Titolare del Trattamento: l’analisi dei dati trattati consente di lavorare sulla possibilità che vengano violati, insieme a tutte le altre informazioni, spesso strategiche.

Ricollocare le responsabilità permette di ridurre il proprio livello di rischio.

Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *