Quali le conseguenze di inadempimento GDPR?
In caso di inadempimento a quanto previsto in tema di protezione dei dati e implementazione di quanto stabilito dal Regolamento UE 679/2016, il sistema sanzionatorio contempla sia sanzioni amministrative che penali.
Sanzioni amministrative di primo livello
Fino ad un massimo di 10.000.000 Euro, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Sanzioni amministrative di secondo livello
Fino ad un massimo di 20.000.000 euro, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il D.Lgs. n.101/2018 disciplina le sanzioni penali prevedendole in caso di:
- trattamento illecito di dati personali
- comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
- acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
- falsità nelle dichiarazioni al Garante e interruzione dell’esercizio dei compiti o dell’esercizio dei poteri del Garante
- inosservanza dei provvedimenti del Garante
- violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori
Regolamento UE 679/2016
All’Art. 83 del Regolamento vengono indicati i criteri per determinare l’applicazione della sanzione civile:
- natura, durata e gravità della violazione, tenendo in considerazione la natura, l’oggetto e la finalità del trattamento, nonchè il numero di interessati coinvolti e il livello del danno da essi subito
- il carattere doloso o colposo della violazione
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
- il grado di responsabilità del titolare del trattamento e del responsabile del trattamento, tenendo conto delle misure tecniche e organizzative da essi messe in atto per prevenire episodi di data breach e ridurne le conseguenze
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile
- livello di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
- categoria di dati interessati dalla violazione
- modalità con cui l’Autorità di controllo ha preso conoscenza della violazione, in particolare se è avvenuta o meno la notificazione
- mancato rispetto di un correttivo emanato dall’Autorità di controllo
- adesione ai codici di condotta o a meccanismi di certificazione
- altri fattori aggravanti o attenuanti applicabili alle circostanze del caso specifico
Proteggere i dati delle persone è un obbligo
Chiarire le possibili conseguenze in caso di inadempimento rappresenta solo un aspetto.
Più significativo è comprendere che l’adempimento rappresenta un’opportunità e una protezione per il Titolare del Trattamento: l’analisi dei dati trattati consente di lavorare sulla possibilità che vengano violati, insieme a tutte le altre informazioni, spesso strategiche.
Ricollocare le responsabilità permette di ridurre il proprio livello di rischio.