Sanzioni GDPR e sanzioni del Codice Privacy
Il regolamento europeo sulla protezione dei dati, meglio noto come GDPR, ha introdotto due tipologie di sanzioni amministrative a seconda della gravità dell’illecito (Regolamento 2016/679, art. 83).
1) Violazioni privacy meno gravi
Fino a 10 milioni di euro per le persone fisiche e fino al 2% del fatturato mondiale annuo per le imprese, in caso delle seguenti violazioni della privacy:
- trattamento illecito dei dati personali che non richiede l’identificazione dell’interessato
- mancata o errata notificazione di una violazione di dati (data breach) all’autorità nazionale competente
- violazione dell’obbligo di nomina del DPO
- omessa applicazione di misure di sicurezza
Inoltre, si applicano le sanzioni sopra riportate per ulteriori violazioni privacy previste dal Codice Privacy italiano. Ad esempio, nei seguenti casi: violazioni relative alle cartelle cliniche e alle attività di ricerca medica, privacy policy online con linguaggio non semplificato per i minori di 14 anni, etc.
2) Violazioni più gravi
Fino a 20 milioni di euro per le persone fisiche e fino al 4% del fatturato mondiale annuo per le imprese, per le seguenti violazioni della privacy:
- non corretta acquisizione del consenso o mancato rispetto degli altri principi di base GDPR (es. correttezza e trasparenza nel trattamento)
- violazione dei diritti degli interessati (es. diritto alla cancellazione dei dati, diritto a conoscere la finalità del trattamento, etc.)
- non corretto trasferimento di dati in un paese extra UE
- inosservanza di un ordine imposto dall’autorità privacy nazionale competente (es. ordine del Garante della privacy)
Inoltre, le sanzioni sopra riportate si applicano ad altre ipotesi di violazioni previste dal Codice Privacy italiano. Ad esempio, le violazioni in merito alle procedure di accesso ai dati genetici, biometrici o relativi alla salute, ai trattamenti di dati relativi a condanne penali e reati, alla diffusione di provvedimenti giudiziari contenenti dati personali, ai dati personali degli studenti, etc.
Per tutelarsi ed evitare le sanzioni, in genere è opportuna una consulenza legale in materia di privacy con un esperto per comprendere quali comportamenti vanno adottati per non compiere violazioni privacy.
Le sanzioni penali in caso di violazioni della privacy
Il GDPR non prevede direttamente sanzioni penali, ma ne rinvia la disciplina ai singoli Stati. Il Codice Privacy italiano stabilisce sanzioni penali per le seguenti violazioni privacy:
- trattamento illecito dei dati che abbia recato danni all’interessato (la pena prevista è la reclusione da 6 a 18 mesi)
- trattamento illecito dei dati per trarre profitto o per arrecare danno (reclusione da 1 a 3 anni)
- comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (reclusione da 6 a 24 mesi)
- acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
- falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (reclusione da 6 mesi a 3 anni)
- inadeguatezza delle misure minime di sicurezza (reclusione fino a 2 anni o ammenda da € 10 mila a € 50 mila)
- inosservanza dei provvedimenti del Garante (reclusione da 3 mesi a 2 anni)
- controlli a distanza e indagini sulle opinioni dei lavoratori (reclusione da 15 giorni ad 1 anno)
Sanzioni GDPR correttive
In alternativa o in aggiunta alle normali sanzioni, il Garante della privacy può stabilire sanzioni correttive che consistono in ammonimenti o ingiunzioni rivolte al titolare o al responsabile di trattamento (art. 58 del GDPR). Le sanzioni correttive sono finalizzate, ad esempio, a impedire un trattamento illecito, a imporre una limitazione dei dati, ad adottare misure di sicurezza idonee, etc.
Inoltre, in aggiunta alle sanzioni, il titolare e il responsabile potrebbero essere condannati al pagamento del risarcimento del danno patrimoniale e non patrimoniale del soggetto leso dalla violazione della GDPR.
Autorità privacy: come vengono applicate le sanzioni
L’organo competente ad applicare le sanzioni è il Garante della privacy che dovrà tener conto di:
- natura, gravità e durata della violazione
- carattere doloso o colposo della violazione
- grado di cooperazione con l’autorità al fine di ridurne gli effetti e/o eliminarli
Le sanzioni dell’autorità privacy dovranno essere sempre proporzionate alla redditività dell’azienda, in modo da non costringerla a cessare l’attività.
Come gestire gli adempimenti GDPR ed evitare violazioni della privacy
Su LexDo.it potrai creare in pochi minuti i documenti privacy previsti dalla GDPR. Ad esempio, la privacy policy per sito web o app, la privacy policy per altre attività, la cookie policy e il registro dei trattamenti. Basterà rispondere a semplici domande per generare i documenti personalizzati per le tue esigenze.
Oltre ai documenti di informativa, è necessario adeguare i processi interni della tua società a tutti gli adempimenti GDPR. Per adeguare i processi aziendali potrai richiedere una consulenza specifica ai nostri esperti per evitare violazioni della privacy.
I nostri piani annuali comprendono sia i documenti legali che le consulenze con avvocati esperti in materia di privacy. Potrai essere seguito in tutti gli adempimenti e i passi necessari per rispettare la GDPR ed evitare sanzioni.
Per scoprire di più visita la pagina www.lexdo.it/prezzi/