L’art. 44 del d.l. 30 dicembre 2008 n. 207 (G.U. 31 dicembre 2008, n. 304) introduce importanti modifiche in materia di privacy prevedendo la semplificazione degli adempimenti e delle misure minime (provvendimento del Garante 27 novembre 2008), ma anche l’aumento delle sanzioni applicabili alle aziende in caso di inadempienza.
In merito alla omessa o inidonea informativa, il decreto milleproroghe prevede infatti un sensibile inasprimento della relativa sanzione, che può variare da un minimo di 6.000 ad un massimo di 36.000 euro (in precedenza da 3.000 a 18.000 euro).
Tali importi possono raddoppiare in caso di violazioni di maggiore gravità o addirittura quadruplicare se la sanzione può risultare inefficace in ragione delle particolari condizioni economiche dell’azienda.
In materia di omessa o incompleta notificazione, il decreto prevede un raddoppio della sanzione che può variare da un minimo di 20.000 euro ad un massimo di 60.000, mentre non è più obbligatoria, ma solo facoltativa, la sanzione amministrativa accessoria della pubblicazione dell’ordinanza di ingiunzione a carico del contravventore.
La sanzione relativa alla illegittima cessione dei dati raddoppia sino a raggiungere l’importo minimo di 10.000 euro e quello massimo di 60.000.
Nel caso di illegittima comunicazione dei dati sanitari si passa all’importo minimo di 1.000 euro a quello massimo di 6.000.
In caso di omessa informazione o esibizione al Garante, la sanzione amministrativa viene ulteriormente inasprita dalla forbice da 4.000 a 24.000 euro a quella attuale da 10.000 a 60.000 euro.
Il decreto introduce nuove sanzioni amministrative alle ipotesi penali di violazione delle misure di sicurezza e di trattamento illecito di dati, prevedendo una sanzione di importo da 20.000 a 120.000 euro.
Nel caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o del provvedimento di divieto o blocco del Garante è applicata la sanzione del pagamento di una somma da 30.000 a 180.000 euro.
Infine, in riferimento alla sanzione penale per la violazione delle misure minime di sicurezza, il decreto non contempla più l’alternatività tra sanzione pecuniaria e quella detentiva ma esclusivamente la pena detentiva fino a 2 anni.