05/04/2018
🤨Il Regolamento Privacy 679/2016 introduce uno strutturato sistema sanzionatorio a garanzia dell’effettività della normativa a tutela dei dati personali.
Tale apparato sanzionatorio dovrebbe idealmente ispirarsi, ai sensi dell’art. 83 del Regolamento, a criteri di effettività, proporzionalità e deterrenza.
La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo del singolo stato (in Italia si tratta dell’Autorità Garante per la protezione dei dati personali), che deve adottare un approccio caso per caso e compiere una valutazione sulla base di determinati parametri guida, ed in particolare: natura, gravità e durata della violazione, carattere doloso o colposo, le misure adottate per contenere il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento, il grado di cooperazione di questo soggetto con l’autorità di controllo, ed eventuali altri fattori contingenti.
Sono previste sia sanzioni amministrative pecuniarie, sia ulteriori sanzioni di natura correttiva, le prime aventi natura integrativa o sostitutiva di queste ultime.
SANZIONI DI CARATTERE ECONOMICO-PECUNIARIO
Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo:
‘multa’ fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.
Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo:
fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Inosservanza di un ordine correttivo dell’autorità di controllo:
fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
SANZIONI CORRETTIVE:
Le sanzioni correttive rientrano nell’ambito di discrezionalità tecnica dell’Autorità di controllo. Le stesse possono consistere nel:
Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR;
Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR;
Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine;
Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale;
Occorre inoltre considerare che ulteriori sanzioni, anche di natura penale, potrebbero essere previste dai singoli Stati membri in sede di recepimento della normativa europea nel diritto interno, ciò ai sensi dell’art.84 del Regolamento Privacy, che attribuisce agli Stati tale potere e facoltà. 🤔
