Il GDPR è il nuovo regolamento generale sulla protezione dei dati, entrato ufficialmente in vigore a maggio 2018. La normativa ha avuto il merito di aggiornare le disposizioni relative al trattamento e alla tutela dei dati personali, ridefinendo in tal senso i rapporti tra imprese ed utenti finali.
Uno dei punti su cui il GDPR è intervenuto con maggiore chiarezza concerne le sanzioni per chi viola le leggi. Infatti, le disposizioni precedentemente in vigore, pur avendo un buon impianto normativo, si dimostravano spesso carenti e scarsamente efficienti nei processi sanzionatori. Andiamo a vedere cosa cambia da questo punto di vista con il nuovo regolamento.
Quali sono le sanzioni del GDPR
L’ammenda massima prevista dal General Data Protection Regulation è fino al 4% del fatturato globale annuo o 20 milioni di euro. Tuttavia, è necessario precisare che non tutte le violazioni del GDPR comportano una multa.
In generale, comunque, esistono due livelli di ammenda amministrativa applicabili a titolo di penalità per la non conformità al GDPR:
- Fino a 10 milioni di euro, o il 2% del fatturato globale annuo;
- Fino a 20 milioni di euro, o il 4% del fatturato globale annuo.
Le multe non si considerano obbligatorie, bensì discrezionali. Vanno, infatti, decretate analizzando le singole casistiche.
Le multe fino a 10 milioni di euro o corrispondenti al 2% del fatturato globale annuo possono essere emesse per infrazioni degli articoli:
- 8 (condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione);
- 11 (trattamento che non richiede l’identificazione);
- 25-39 (obblighi generali dei titolari e dei responsabili del trattamento);
- 42 e 43 (certificazioni ed organismi di certificazione)
Sanzioni fino a 20 milioni di euro o pari al 4% del fatturato totale annuo vengono inflitte in presenza di violazioni degli articoli:
- 5 (principi applicabili al trattamento dei dati personali);
- 6 (liceità del trattamento);
- 7 (condizioni per il consenso);
- 9 (trattamento di categorie particolari di dati personali);
- 12-22 (diritti dell’interessato);
- 44-49 (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali)
Come vengono applicate le sanzioni del GDPR
Nel decidere dell’applicazione di un’ammenda, le autorità di controllo devono considerare diversi fattori:
- Natura, gravità e durata della violazione del GDPR;
- Se l’infrazione è stata dovuta a negligenza o ad un’azione intenzionale;
- Le eventuali azioni intraprese dall’organizzazione per mitigare i danni subiti dagli utenti;
- Misure tecniche ed organizzative implementate dall’organizzazione;
- Eventuale recidività, ossia violazioni dell’organizzazione commesse già in passato;
- Grado di collaborazione con le autorità di controllo per porre rimedio all’infrazione;
- Tipologia dei dati personali coinvolti;
- Contesto in cui l’autorità di controllo è venuta a conoscenza dell’infrazione;
- Adesione dell’organizzazione a codici di condotta o certificazioni
Come si determina l’importo della sanzione
L’inserimento di una soglia percentuale ai fini dell’applicazione di una sanzione GDPR è molto importante perché consente di applicare ammende di elevati importi a quelle aziende che hanno commesso gravi violazioni e che, magari, vantano fatturati annui sbalorditivi.
Vediamo qualche esempio semplice e concreto che aiuta a comprendere come viene determinato l’importo della sanzione. Un’azienda che vanta un fatturato annuo di 800 milioni di euro e che ha commesso una violazione grave deve subire un’ammenda che non può corrispondere a 20 milioni di euro in quanto si ritroverebbe a pagare una multa di importo più basso in rapporto al fatturato.
In questo caso, si calcola il 4% di 800 milioni di euro che corrisponde a 32 milioni di euro. E’ questa la sanzione che sarebbe costretta a pagare l’organizzazione per le violazioni commesse.
Così facendo, il GDPR punta a colpire in modo esemplare tutte quelle organizzazioni che trattano milioni se non miliardi di dati e che fanno proprio dell’analisi dei dati stessi gran parte delle loro fortune.
