Sanzioni GDPR: ecco quando scattano

Il GDPR è il nuovo regolamento generale sulla protezione dei dati, entrato ufficialmente in vigore a maggio 2018. La normativa ha avuto il merito di aggiornare le disposizioni relative al trattamento e alla tutela dei dati personali, ridefinendo in tal senso i rapporti tra imprese ed utenti finali.

Uno dei punti su cui il GDPR è intervenuto con maggiore chiarezza concerne le sanzioni per chi viola le leggi. Infatti, le disposizioni precedentemente in vigore, pur avendo un buon impianto normativo, si dimostravano spesso carenti e scarsamente efficienti nei processi sanzionatori. Andiamo a vedere cosa cambia da questo punto di vista con il nuovo regolamento.

Quali sono le sanzioni del GDPR

L’ammenda massima prevista dal General Data Protection Regulation è fino al 4% del fatturato globale annuo o 20 milioni di euro. Tuttavia, è necessario precisare che non tutte le violazioni del GDPR comportano una multa.
In generale, comunque, esistono due livelli di ammenda amministrativa applicabili a titolo di penalità per la non conformità al GDPR:

  • Fino a 10 milioni di euro, o il 2% del fatturato globale annuo;
  • Fino a 20 milioni di euro, o il 4% del fatturato globale annuo.

Le multe non si considerano obbligatorie, bensì discrezionali. Vanno, infatti, decretate analizzando le singole casistiche.
Le multe fino a 10 milioni di euro o corrispondenti al 2% del fatturato globale annuo possono essere emesse per infrazioni degli articoli:

  • 8 (condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione);
  • 11 (trattamento che non richiede l’identificazione);
  • 25-39 (obblighi generali dei titolari e dei responsabili del trattamento);
  • 42 e 43 (certificazioni ed organismi di certificazione)

Sanzioni fino a 20 milioni di euro o pari al 4% del fatturato totale annuo vengono inflitte in presenza di violazioni degli articoli:

  • 5 (principi applicabili al trattamento dei dati personali);
  • 6 (liceità del trattamento);
  • 7 (condizioni per il consenso);
  • 9 (trattamento di categorie particolari di dati personali);
  • 12-22 (diritti dell’interessato);
  • 44-49 (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali)

Come vengono applicate le sanzioni del GDPR

Nel decidere dell’applicazione di un’ammenda, le autorità di controllo devono considerare diversi fattori:

  • Natura, gravità e durata della violazione del GDPR;
  • Se l’infrazione è stata dovuta a negligenza o ad un’azione intenzionale;
  • Le eventuali azioni intraprese dall’organizzazione per mitigare i danni subiti dagli utenti;
  • Misure tecniche ed organizzative implementate dall’organizzazione;
  • Eventuale recidività, ossia violazioni dell’organizzazione commesse già in passato;
  • Grado di collaborazione con le autorità di controllo per porre rimedio all’infrazione;
  • Tipologia dei dati personali coinvolti;
  • Contesto in cui l’autorità di controllo è venuta a conoscenza dell’infrazione;
  • Adesione dell’organizzazione a codici di condotta o certificazioni

Come si determina l’importo della sanzione

L’inserimento di una soglia percentuale ai fini dell’applicazione di una sanzione GDPR è molto importante perché consente di applicare ammende di elevati importi a quelle aziende che hanno commesso gravi violazioni e che, magari, vantano fatturati annui sbalorditivi.
Vediamo qualche esempio semplice e concreto che aiuta a comprendere come viene determinato l’importo della sanzione. Un’azienda che vanta un fatturato annuo di 800 milioni di euro e che ha commesso una violazione grave deve subire un’ammenda che non può corrispondere a 20 milioni di euro in quanto si ritroverebbe a pagare una multa di importo più basso in rapporto al fatturato.
In questo caso, si calcola il 4% di 800 milioni di euro che corrisponde a 32 milioni di euro. E’ questa la sanzione che sarebbe costretta a pagare l’organizzazione per le violazioni commesse.
Così facendo, il GDPR punta a colpire in modo esemplare tutte quelle organizzazioni che trattano milioni se non miliardi di dati e che fanno proprio dell’analisi dei dati stessi gran parte delle loro fortune.