In arrivo i primi controlli e le sanzioni per violazione della privacy

?Stampa l'articolo o salvalo in formato PDF (selezionando la stampante PDF del tuo sistema operativo)

Stampa articolo PDF

Il 20 maggio era il termine ultimo per adeguarsi alla nuova disciplina in materia di protezione dei dati personali; ecco le sanzioni in caso di violazione della privacy previste dal GDPR

Dal 2018 è entrato in vigore il nuovo Regolamento UE 2016/679, GDPR che detta legge in materia di diffusione e trattamento dei dati personali tra le aziende, i professionisti e le Pubbliche Amministrazioni; nonché le sanzioni per violazione della privacy.

Il nuovo Regolamento prevede diverse novità, particolarmente importanti soprattutto per le aziende, che hanno lo scopo di aumentare la loro responsabilità in materia di trattamento dei dati personali e diritto alla privacy.

Ben 99 gli adempimenti richiesti per adeguarsi alla disciplina sulla protezione dei dati personali; in caso di violazione delle norme previste, soprattutto in materia di diritto all’oblio o alla cancellazione, sono previste sanzioni severe e corpose a partire dalla fine del periodo di tolleranza per le inadempienze previsto dall’art. 22 del dlgs 101/2018:

Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Ciò significa che a partire dal 20 maggio prendono il via le ispezioni ed il Garante potrà applicare le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Le aziende che in questi mesi non si sono adeguate alle prescrizioni in materia di privacy verranno valutate a posteriori in base:

• ai risultati conseguiti
• alla capacità di essersi adeguate, tenendo conto delle proprie specifiche realtà lavorative e del progresso tecnologico.

Le verifiche partono da chi esegue attività di profilazione (ossia di raccolta di informazioni su un individuo, o un gruppo di individui, per analizzare le caratteristiche al fine di inserirli in categorie, gruppi o poterne fare delle valutazioni o delle previsioni) con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute.

Sanzioni amministrative

Il GDPR prevede rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa che saranno, tuttavia, valutate in base alla natura, gravità e durata dell’illecito commesso, ossia saranno proporzionate a ciascuna violazione.

In particolare, il Regolamento distingue 2 gruppi di sanzioni amministrative in considerazione della minore o maggiore gravità della violazione:

• fino a 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:
  • violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione
  • trattamento illecito di dati personali che non richiede l’identificazione dell’interessato
  • mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente
  • violazione dell’obbligo di nomina del DPO
  • mancata applicazione di misure di sicurezza
• fino a 20 milioni di euro o fino al 4% del fatturato mondiale dell’impresa nei casi di, a titolo esemplificativo:
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente
  • trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

All’interno del GDPR è presente anche un margine di discrezionalità circa la possibilità di infliggere una sanzione e la determinazione dell’importo della stessa.

Le sanzioni devono essere considerate un’arma dissuasiva: ogni violazione sarà soppesata alla luce della sua gravità e proporzionate anche all’azienda.

Sanzioni penali

Con riguardo alle sanzioni penali, il GDPR non ne prevede direttamente; tuttavia, lo stesso ammette la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR.

Le violazioni per cui saranno applicabili sanzioni penali sono:

• trattamento illecito dei dati
• comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
• acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
• falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante
• inosservanza dei provvedimenti del Garante.

Sanzioni correttive

L’autorità di controllo ha il potere di irrogare sanzioni correttive che consistono nel:

• rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme
• rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme
• ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
• ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità
• imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto
• ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali
• revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti
• infliggere le sanzioni amministrative pecuniarie
• ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Prova gratis PriMus, il software per la contabilità lavori ed il computo metrico

Clicca qui per scaricare il Regolamento

Indirizzo articolo: https://biblus.acca.it/primi-controlli-e-le-sanzioni-per-violazione-della-privacy/