Sanzioni Amministrative – Penali

Le violazioni

Il regolamento europeo distingue due gruppi di violazioni.

1) Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

a) inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default), contitolare del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
b) inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

2) Un secondo gruppo di violazioni (art. 83, par. 5, GDPR), per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

a) inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
c) inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1;
– alle quali si aggiunge l’inosservanza delle prescrizioni di cui alle autorizzazioni generale del Garante per la privacy di cui all’art. 21 D. Lgs 101/2018 (adeguamento Codice Privacy) o di cui al provvedimento di cui all’art. 21, comma 1, del D. Lgs. 101/2018 (prescrizioni in materia di dati a trattamento speciale).

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

Se il trattamento del dato riguarderà i dati particolari come specificati e contenuti dell’articolo 9 o dell’articolo 10 ovviamente il risarcimento sarà molto più alto, si incapperà in sanzioni amministrative e penali, per cui vi facciamo presente che non esiste una tabella che vale per tutti gli stati membri, ogni Stato dovrà analizzare caso per caso e dare quello che è la propria valutazione è il valore del risarcimento che dovrà essere appunto dato sotto questo aspetto.

Domanda

Se non osservo le direttive e tratto dati particolari, posso incombere in sanzioni?