Guida alle sanzioni GDPR

Sanzioni GDPR
INDICE:

Un’organizzazione a cui viene comminata una sanzione GDPR, oltre ad una perdita finanziaria di proporzioni considerevoli, rischia di subire una perdita altrettanto rilevante a livello di immagine e fiducia nelle relazioni con i propri stakeholder.

Una perdita finanziaria che può protrarsi nel tempo in termini di riduzione del fatturato e di sviluppo di nuove opportunità di business.

Infatti, negli ultimi 25 anni, la protezione dei dati personali ha assunto un posto di prim’ordine nel panorama italiano ed internazionale, estendendo la propria funzione, da protezione di un diritto fondamentale, a fattore chiave per affrontare le sfide tecnologiche del presente e del futuro.

Tra i poteri correttivi delle autorità di controllo (per l’Italia, il Garante per la protezione dei dati personali) in grado di incidere sulle attività di titolari e responsabili, come avvertimenti, ammonimenti, limitazioni e divieti del trattamento o sospensione di flussi extraeuropei, ci concentreremo in questo articolo sul potere di infliggere sanzioni amministrative pecuniarie a fronte di violazioni privacy.

Le sanzioni GDPR: partiamo dalle basi

Il GDPR disciplina le sanzioni amministrative pecuniarie all’articolo 83.

Dalla lettura di questo articolo emerge sin da subito ed in modo chiaro la volontà del legislatore: è infatti compito delle autorità di controllo fare in modo che le sanzioni GDPR siano effettive, proporzionate e dissuasive. Alla stessa autorità viene anche conferito il potere di comminare tali sanzioni.

Come vedremo, non si tratta di importi esigui e facilmente prevedibili che le organizzazioni possono pensare di mettere in conto alla stregua di oneri finanziari eventuali a fronte di un disinteresse nell’applicazione della normativa, oppure, come costo eventuale a fronte di ricavi derivanti da pratiche di trattamento in violazione. L’impianto sanzionatorio del GDPR è stato pensato per essere in grado di pesare anche sui bilanci delle grandi compagnie tecnologiche; pertanto, non è più possibile attuare politiche di questo genere da parte dei titolari o responsabili del trattamento.

Vista la costante crescita di attenzione dell’opinione pubblica verso il rispetto dei diritti in tema di protezione dei dati personali, l’organizzazione che, a seguito di un’ispezione privacy, si trova ad essere condannata a sostenere sanzioni amministrative GDPR, rischia di subire altre conseguenze negative: ne è un esempio la riduzione di clienti causata dalla perdita di fiducia nei prodotti o servizi forniti.

Come si configurano le sanzioni amministrative GDPR?

Vediamo nel dettaglio come si configurano le sanzioni GDPR, cercando di individuare gli elementi a cui prestare maggiore attenzione nella gestione della propria compliance.

L’entità di tali sanzioni privacy è legata alla natura e alla tipologia di disposizioni del Regolamento che sono oggetto della violazione da parte di titolari o responsabili, ed i relativi massimi sono suddivisi in due parti.

1.     Sanzioni amministrative pecuniarie fino a 10 milioni di euro

La prima parte è costituita dalle violazioni delle disposizioni del GDPR che sono soggette a sanzioni amministrative pecuniarie fino alla cifra di 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Ma quali sono le disposizioni che, se violate, possono portare a sanzioni di tali importi?
Si tratta delle disposizioni del Regolamento in merito a:

  • Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
  • Trattamento che non richiede l’identificazione;
  • Contitolari del trattamento;
  • Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’unione;
  • Responsabile del trattamento;
  • Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento;
  • Registri delle attività di trattamento;
  • Cooperazione con l’autorità di controllo;
  • Sicurezza del trattamento;
  • Notifica di una violazione dei dati personali all’autorità di controllo e comunicazione di una violazione dei dati personali all’interessato;
  • Valutazione d’impatto sulla protezione dei dati e consultazione preventiva;
  • Designazione, posizione e compiti del Responsabile della protezione dei dati personali (DPO);
  • Certificazione e Organismi di certificazione
  • Obblighi dell’organismo di certificazione e dell’organismo di controllo;
  • Obblighi dell’organismo di controllo con riguardo alle disposizioni del Regolamento relative al controllo dei codici di condotta approvati.

2.     Sanzioni amministrative pecuniarie fino a 20 milioni di euro

In secondo luogo, sono soggette a sanzioni amministrative pecuniarie fino alla cifra di 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e nel caso in cui le violazioni delle disposizioni del GDPR siano relative a:

  • Principi di base del trattamento e le condizioni relative al consenso, anche riguardo alle categorie particolari di dati personali
  • Diritti degli interessati (informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti; informazioni da fornire all’interessato; diritto di accesso; diritto di rettifica, cancellazione, e limitazione di trattamento ed i relativi obblighi di notifica del titolare; diritto alla portabilità dei dati; diritto di opposizione, processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione)
  • Trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, con riguardo a quanto stabilito dal Regolamento relativamente al principio generale per il trasferimento; il trasferimento sulla base di una decisione di adeguatezza della Commissione; trasferimento soggetto a garanzie adeguate; norme vincolanti d’impresa; trasferimento o comunicazione non autorizzati dal diritto dell’Unione; deroghe in specifiche situazioni.

Come variano le sanzioni GDPR a seconda dei casi?

Abbiamo appena analizzato un quadro sanzionatorio che genera molte difficoltà nel prevedere quali potrebbero essere le sanzioni legate a singole violazioni del Regolamento.

Le sanzioni GDPR, infatti, sono inflitte a seconda delle circostanze del singolo caso, anche in aggiunta agli altri poteri correttivi dell’autorità visti in precedenza.

Per valutare se infliggere o meno la sanzione pecuniaria e per deciderne l’importo, infatti, vengono tenuti in considerazione diversi fattori:

  • dal punto di vista della violazione si tiene conto della sua natura, gravità e durata,
    considerando anche la natura, l’oggetto e la finalità del trattamento e il numero degli interessati che hanno subito un danno e il livello di tale danno. Si tiene conto anche del fatto che la violazione abbia o meno natura dolosa e che vi siano dei precedenti. Rilevano anche le categorie di dati personali interessate dalla violazione.
  • dal punto di vista dei titolari e responsabili, a seguito di una violazione delle disposizioni del GDPR si tiene conto, inoltre, delle misure da questi adottate per attenuare il danno, del loro grado di responsabilità e del rispetto di eventuali provvedimenti in merito allo stesso oggetto già disposti nei loro confronti. Un criterio è anche l’adesione da parte di titolari o responsabili a codici di condotta o meccanismi di certificazione.
  • guardando ai rapporti con l’autorità, ovviamente, anche il grado di cooperazione nel rimediare alla violazione e ad attenuarne gli effetti negativi ed il modo in cui la stessa è venuta a conoscenza dei fatti, sono fra i criteri considerati per infliggere la sanzione.
  • eventuali ulteriori fattori aggravanti o attenuanti applicabili alle circostanze del caso.

Sanzioni Codice Privacy: le novità a seguito dell’adeguamento dell’ordinamento italiano al GDPR

Il Codice Privacy così come novellato dal D.lgs. 101/2018, all’art. 166, prevede che ricadano nell’impianto sanzionatorio dell’art. 83 GDPR anche violazioni di disposizioni di adeguamento nazionale o di specifiche disposizioni nazionali, ricomprendendo anche quelle riferite a normative europee diverse dal GDPR, come il caso della “direttiva e-privacy”.

In particolare, rientrano nella fascia di sanzioni fino a 10 milioni di euro e 2 % del fatturato anche le violazioni di specifiche disposizioni del Codice Privacy nei seguenti ambiti:

  • Consenso del minore in relazione ai servizi della società dell’informazione (chiarezza e comprensibilità delle informazioni e delle comunicazioni relative al trattamento);
  • Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico;
  • Cartelle cliniche;
  • Certificato di assistenza al parto;
  • Dati relativi al traffico; trasferimento automatico della chiamata; elenchi dei contraenti; sicurezza del trattamento (con riferimento alle disposizioni riguardanti i servizi di comunicazione elettronica);
  • Ricerca medica, biomedica ed epidemiologica;

Anche la fascia con i massimi edittali più alti delle sanzioni GDPR, che prevede sanzioni fino a 20 milioni di euro e 4% del fatturato, ricomprende violazioni di specifiche disposizioni del Codice Privacy nell’ambito di:

  • Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • Consenso del minore in relazione ai servizi della società dell’informazione (raccolta del consenso del minore che ha compiuto i 14 anni);
  • Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante;
  • Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute;
  • Principi relativi al trattamento di dati relativi a condanne penali e reati;
  • Diritti riguardanti le persone decedute;
  • Dati identificativi degli interessati (con riferimento alle disposizioni riguardanti l’informatica giuridica);
  • Specifiche condizioni in ambito sanitario;
  • Informazioni del medico di medicina generale o del pediatra;
  • Informazioni da parte di strutture pubbliche e private che erogano prestazioni sanitarie e sociosanitarie;
  • Emergenze e tutela della salute e dell’incolumità fisica (con riferimento alle disposizioni riguardanti le modalità particolari per informare l’interessato e per il trattamento dei dati personali);
  • Cartelle cliniche;
  • Certificato di assistenza al parto;
  • Trattamento di dati relativi a studenti;
  • Durata del trattamento, dati relativi ad attività di studio e ricerca (con riferimento alle disposizioni riguardanti le i trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici);
  • Modalità di trattamento (nell’ambito del trattamento ai fini di archiviazione nel pubblico interesse o di ricerca storica);
  • Modalità di trattamento: trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici (nell’ambito del trattamento ai fini statistici o di ricerca scientifica)
  • Regole deontologiche per trattamenti nell’ambito di rapporti di lavoro;
  • Informazioni in caso di ricezione di curriculum;
  • Conoscibilità di dati su mandato dell’interessato (con riferimento alle disposizioni riguardanti gli istituti di patronato e si assistenza sociale);
  • Sinistri (nell’ambito delle Assicurazioni);
  • Informazioni raccolte nei riguardi del contraente o dell’utente; dati relativi al traffico; fatturazione dettagliata; identificazione della linea; dati relativi all’ubicazione; comunicazioni indesiderate; informazioni a contraenti e utenti; conservazione di dati di traffico per altre finalità; procedure istituite dai fornitori; informazioni sui rischi (con riferimento alle disposizioni riguardanti i servizi di comunicazione elettronica);
  • Richiesta di informazioni e di esibizione di documenti (con riferimento alle disposizioni riguardanti accertamenti e controlli);
  • Regole deontologiche.

Sebbene non si possa parlare direttamente di sanzioni Codice Privacy, è di assoluta importanza conoscere quali altre violazioni rientrano nelle previsioni del Regolamento, oltre a quelle espressamente previste dallo stesso.

I numeri delle sanzioni privacy GDPR

Come abbiamo avuto modo di vedere gli importi delle sanzioni possono essere davvero rilevanti, e non è possibile fare previsioni certe in merito ai rischi sanzionatori di determinati comportamenti o trattamenti eventualmente in violazione della normativa.

Per avere un’idea è utile analizzare qualche dato. La fonte principale di informazioni quando si parla di normativa privacy è il Garante per la protezione dei dati personali.

Già dalla relazione annuale del 2020 si ricava il peso delle sanzioni privacy: si parla di oltre 38 milioni di euro di sanzioni riscosse in un solo anno.

Nel 2021, invece, si sono registrate sanzioni per oltre 46 milioni di euro in relazione a violazioni di vario genere. Tra le previsioni del Regolamento violate si ritrovano i principi generali del trattamento, le nomine a responsabile del trattamento, le basi giuridiche, l’adozione di misure tecniche o organizzative per garantire un livello di sicurezza adeguato al rischio, il rispetto dei diritti degli interessati e gli obblighi informativi.

Insieme agli importi delle sanzioni amministrative GDPR, cresce anche l’attenzione da parte del Garante ad aspetti relativi all’utilizzo di nuove tecnologie e dell’intelligenza artificiale, nuovo orizzonte dello sviluppo tecnologico ma anche potenziale minaccia per i diritti e le libertà delle persone fisiche.

Come evitare una sanzione GDPR?

Si può evitare una sanzione GDPR?
Forse è una domanda posta nel modo sbagliato.

Lo spirito innovativo del Regolamento che si riflette nell’articolo 83, è proprio quello di evitare un ragionamento di questo genere. Forse è più corretto porsi la domanda: come rispettare il GDPR?

Questo è un quesito che ne contiene molti altri, ad esempio, relativi al miglior modo di rispettare i principi del GDPR e l’accountability, di redigere e mantenere un registro dei trattamenti, di fornire informazioni sul trattamento in modo chiaro ed accessibile, di consentire l’esercizio dei diritti degli interessati, di svolgere una corretta analisi dei rischi e, ove necessario una valutazione d’impatto, di evitare data breach e di gestire i rapporti con i fornitori che si configurano come responsabili del trattamento.

Questo elenco ovviamente non è sufficiente, ma può considerarsi un buon inizio.

Se desideri approfondire questi temi e se ritieni di avere bisogno di consulenza privacy altamente specializzata, i nostri professionisti sono pronti ad assisterti.

Torna in alto