BLOG

Il nostro blog

sanzioni gdpr

GDPR e sanzioni: la tua azienda è al sicuro?

A partire da maggio 2019, a un anno di distanza dall'entrata in vigore del GDPR - General Data Protection Regulation, è finito il periodo di tolleranza relativamente alle sanzioni comminate per inadempienze.

Inizialmente infatti le multe sono state più leggere, mentre dal 20 maggio di quest'anno possono essere applicate le tariffe massime.

Ciò significa che ci si aspetta che le aziende siano ormai andate a regime con i loro piani di applicazione del Regolamento Europeo; il non esserlo, tra l'altro, comporta una serie di effetti negativi che non riguardano solo l'esborso economico per le multe.

L’azienda scoperta a diffondere o usare in modo illegittimo i dati subisce in primis un danno reputazionale; ma le conseguenze delle violazioni delle norme sulla protezione dei dati personali possono essere molteplici. Ad esempio, si può ricorrere a sanzioni correttive, quali ammonimenti o avvertimenti (al titolare può ad esempio essere imposto di mettere in atto determinate procedure o tecniche tese a sospendere o bloccare il trattamento stesso); l'autorità può altresì procedere a richiedere di provvedere al risarcimento dei danni (materiali e morali) causati agli interessati e, ovviamente, applicare sanzioni amministrative e penali.

Le sanzioni amministrative sono imposte dal Garante della privacy che, in base alla natura, gravità e durata della violazione, può decidere che siano più o meno pesanti. Infatti, l'autorità verifica prima di tutto il carattere doloso o colposo della violazione stessa e se essa ha causato profitto al titolare del trattamento. Quanto dovrà essere corrisposto dall'azienda che non ha rispettato il GDPR dipenderà anche da un'altra serie di variabili, quali la capacità cooperazione con il Garante, la velocità con cui si è notificato l'incidente e la capacità di dimostrare quali e quante misure tecniche e organizzative erano state prese per tutelare i dati e così via.

Sul fronte delle sanzioni penali, i reati previsti dal Codice riguardano il trattamento illecito dei dati, la loro diffusione su larga scala, l'acquisizione fraudolenta di informazioni, la falsa dichiarazione al Garante così come l'ostacolare il lavoro di quest'ultimo.

A fronte di questa veloce panoramica è dunque possibile pensare che la propria azienda sia al sicuro? L'essere conformi al GDPR significa adottare tutta una serie di principi che impongono di rivedere i modelli di business e i processi che implichino il trattamento dei dati. Esistono software in grado di aiutare le aziende ad avere un quadro completo di quali dati si hanno a disposizione e di come e dove vengono impiegati; non solo: le soluzioni più avanzate comprendono formazione e indicazioni per compiere l'autovalutazione della propria situazione, possono offrire una lista di indicazioni da seguire per rendere compliant le aziende, supportare le organizzazioni nello stilare il Data Protection Impact Assessment e preparare il Registro dei trattamenti.

 

Due gruppi di sanzioni, ecco a quanto ammontano le multe

È doveroso premettere che le sanzioni stabilite dal GDPR rappresentano una arma dissuasiva e non punitiva e sono in linea di massima stabilite in modo che l’azienda non corra il pericolo di trovarsi in grave difficoltà a proseguire la propria attività.

Detto ciò, il GDPR prevede due grandi gruppi di violazioni, quelle più lievi e quelle più pesanti.

Nel primo caso si tratta di sanzioni che possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato globale annuo (quindi non solo quello generato in Europa). Sono violazioni che riguardano il non avere osservato gli obblighi del titolare e del responsabile dei trattamenti, l'inosservanza degli obblighi dell'organismo di certificazione e dell'organismo di controllo.

In caso di violazioni riguardanti il secondo gruppo, le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. In questo caso, i problemi riguardano l'inosservanza dei principi di base del trattamento, così come dei diritti degli interessati; inoltre si fa riferimento al trasferimento di dati personali ad una organizzazione di un paese terzo, all'inosservanza di un ordine di limitazione provvisoria o definitiva di trattamento dei dati.

Scopri ShareLock

Topics: GDPR