Il GDPR formalizza le condizioni generali per infliggere sanzioni amministrative pecuniarie a quei soggetti, titolari o responsabili, che violano uno o più disposizioni del regolamento stesso.
Come rammentato dall’Articolo 83, infatti, le più gravi sanzioni pecuniarie possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato mondiale annuo.
Gravità violazioni GDPR
Nello specifico il legislatore europeo individua due casistiche gravi ed assegna loro due limiti massimi di relativa sanzione:
- per le violazioni agli obblighi del titolare del trattamento o del responsabile del trattamento, come ad esempio non aver rispettato gravemente gli aspetti legati ad un eventuale data breach, oppure non aver predisposto un registro delle attività di trattamento, oppure ancora non aver nominato un DPO (data protection officer) ove previsto, il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro, oppure per le imprese fino al 2% del fatturato mondiale annuo;
- per le violazioni ai principi del trattamento (articoli da 5 a 9) ai diritti degli interessati, ai trasferimenti di dati personali verso un Paese terzo, alle legislazioni degli stati membri, agli ordini di limitazione di trattamento, il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato mondiale annuo.
Sanzioni quindi molto significative, che fanno sperare in un cambio di rotta nella gestione della privacy da parte di molte aziende che attualmente la considerano in modo marginale.
Sanzioni commisurate
Chiaramente questo non vuol dire che alla prima problematica con il regolamento sarà applicata la massima sanzione a tutte le aziende. Al contrario il comma 1 dello stesso articolo 83 prevede che le sanzioni siano inflitte in relazione al singolo caso e comunque effettive, proporzionate e dissuasive.
Tali sanzioni possono essere prescritte dal Garante, che dovrà tenere conto di una serie di parametri che comprendono, la natura, la gravità, la durata della violazione, così come la finalità del trattamento, il numero di interessati e il danno cagionato.
Sarà tenuto in considerazione anche l’aspetto di volontarietà (carattere doloso o colposo della violazione) così come le attenuanti del caso. Tra queste le misure adottate dal titolare per attenuare il danno, l’adesione e codici di condotta o a meccanismi di certificazione e altre attenuanti o aggravanti applicabili alle circostanze del caso.