GDPR: parliamo di sanzioni

05/02/2019
di Lorenzo Colzi

La normativa a protezione dei dati personali, GDPR, individua specifici requirements (obblighi) a carico sia del Titolare del Trattamento che del Responsabile del Trattamento.

Quali sono le conseguenze legate alla violazione di tali obblighi?

Il GDPR, come è noto, prevede un impianto sanzionatorio molto più pregnante rispetto alla precedente normativa (il d. lgs n°196/03 per altro ancora in vigore e modificato dal d. lgs. n°101/18).

La prima conseguenza “sanzionatoria” latu sensu intesa, derivante dal non rispetto di quanto richiesto dalla normativa, la si rintraccia nell’art. n°2-decies del d.lgs. n°196/03, così come modificato dal d. lgs. n°101/18, il quale prevede la inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia (viene fatto salvo quanto previsto dall’art. n°160-bis del decreto citato relativamente alla utilizzabilità di tali dati a fini strettamente processuali la quale per espressa previsione viene disciplinata dalle disposizioni processuali pertinenti).

Tornando alla lettura del Regolamento, gli artt. n°83 par. 4 e par. 5, impongono l’irrogazione di sanzioni amministrative, nel caso di violazione di alcune delle disposizioni del GDPR, individuando due scaglioni sanzionatori in ordine crescente:

1) sanzione amministrativa pecuniaria fino a 10 milioni di euro o per le imprese fino al 2% del fatturato mondiale annuo calcolato sull’esercizio precedente, se il fatturato in questione supera la soglia dei 10 milioni di euro. Rientrano in questo scaglione (solo a titolo esemplificativo): la violazione delle norme di cui agli artt. 25-39 del GDPR, relative ai Principi Di Privacy By Design e Privacy By Default o alla tenuta del registro dei Trattamenti o ancora all’obbligo di comunicazione di un avvenuto Data Breach.

2) sanzione amministrativa pecuniaria fino a 20 milioni di euro o per le imprese fino al 4% del fatturato mondiale annuo calcolato sull’esercizio precedente, se il fatturato in questione supera la soglia dei 20 milioni di euro. Rientrano in questo scaglione (solo a titolo esemplificativo): violazioni di disposizioni relative al consenso o al trasferimento dei dati all’estero (si legga EXTRA UE).

Cosa dice il ‘vecchio’ Codice Privacy

Il d. lgs. n°101/18, nell’adeguare il nostro vecchio codice Privacy alle nuove disposizioni, con una mossa non troppo scaltra procede invece all’abrogazione di tutte le vecchie fattispecie a carattere sanzionatorio amministrativo, inserendo tutte le “condotte” all’interno del solo articolo n°166 che diventa norma di non facile lettura anche per l’esperto.

Mantenendo la suddivisione in scaglioni come sopra esposta, l’art. n°166 del novellato Codice Privacy prevede le sanzioni di cui al primo scaglione per la violazione (anche qui solo a titolo esemplificativo): dell’art n°2-quinquies comma 2 (informativa da rendere con linguaggio semplificato ai minori in occasione dell’offerta di beni o servizi della società dell’informazione), e ancora dell’art. n°2-quinquiesdecies (relativo ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico).

Deadline

Prevede invece la comminazione di sanzioni di cui al secondo scaglione (solo a titolo esemplificativo) per la violazione dell’art. n°2-sexies (sul trattamento di categorie particolari di dati per motivi di interesse pubblico rilevante) e ancora dell’art. n°2-octies (sul ai trattamenti di dati relativi a condanne penali e reati).

Come è facile intuire la ricostruzione di tutte le fattispecie sanzionabili non è cosa semplice.

Tali sanzioni di carattere amministrativo come più volte ricordato, verranno comminate dall’autorità di controllo di ogni Stato Membro che, nell’esercizio di questo compito, dovrà garantire in accordo con l’art n°83 par.1 GDPR che tali sanzioni siano effettive proporzionate e dissuasive, seguendo i parametri di cui al successivo par. 2 per determinare il quantum stesso della irroganda sanzione.

In ogni caso si ricorda che, nel nostro ordinamento giuridico, l’illecito amministrativo è regolato dalla legge n°689/81. Una delle caratteristiche principe di questo tipo di violazione consiste nella irrilevanza dell’elemento soggettivo del contravventore ai fini della applicabilità della sanzione. In poche parole è indifferente se la norma viene violata per colpa (la semplice dimenticanza) o con il proposito interiore di porsi scientemente in contrasto con ciò che la norma chiede: la sanzione verrà comunque elevata dall’autorità di controllo. Resta inteso che il dolo o la colpa dell’agente avranno il loro riverbero sul quantum della sanzione effettivamente comminata.

In questa ricostruzione non si dimentichi infine che le sanzioni sono sempre elevate a carico del Titolare del Trattamento, soggetto individuato dalla norma, il quale deve necessariamente conformarsi a quanto richiesto dalla stessa per tutelare i dati personali degli interessati coinvolti nel trattamento. Viene fatta salva dal Regolamento stesso la possibilità di elevare una sanzione anche a carico del Responsabile del Trattamento nel caso in cui l’obbligo violato sia posto dal regolamento in capo a questi, (si pensi alla tenuta del registro del trattamento nella veste di responsabile), in questi casi la sanzione quindi, potrà essere elevata direttamente al Responsabile.

Articolo pubblicato su Il Caffé Digitale

Riproduzione riservata ©

ALTRE NEWS

In arrivo l’obbligo di iscrizione all’albo dei conservatori accreditati

L’articolo 44-bis del Codice dell’Amministrazione Digitale (CAD) obbliga le imprese che erogano servizi di conservazione dei documenti informatici e di certificazione dei relativi processi anche… Leggi Tutto

La “lunga gestazione” della fatturazione elettronica nei rapporti con la PA

La polemica sarebbe lo scontato avvio di questo articolo e invece la chiave di “scrittura” prescelta, molto più eloquente di ogni critica, è quella di… Leggi Tutto

Gli open data sono una realtà. Il nostro Garante per la protezione dei dati personali ne è cautamente convinto

Allo scadere del termine (prorogato fino allo scorso primo ottobre) di cui all’art. 24 quater del D.L n. 90/2014, convertito, con modificazioni, dalla L. n…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form