Il 25 maggio 2018 è ufficialmente entrato in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali.
QUALI SONO LE SANZIONI PREVISTE PER CHI NON È A NORMA COL GDPR?
I provvedimenti dovranno avere "carattere di effettività, proporzionalità e dissuasività". A decidere l'applicazione della sanzione sarà l'autorità garante nazionale che dovrà quindi valutare ogni singolo caso. Più precisamente, secondo il General Data Protection Regulation, nei casi più gravi di inosservanza dei diritti degli interessati la sanzione amministrativa pecuniaria può raggiungere i 20 milioni euro o il 4% del fatturato totale dell'organizzazione nell'anno precedente. Le autorità di controllo potranno ricorrere anche a sanzioni penali quando disponibili a livello nazionale.
Attualmente il Governo italiano non ha ancora emanato quei provvedimenti attuativi che legifereranno in materia penale. Molti erroneamente pensano, che il GDPR sarà operativo solo dopo l'emanazione di tali decreti. Ricordiamo che ad oggi il GDPR675/16 è operativo la 100%
I titolari del trattamento e i responsabili del trattamento hanno le maggiori responsabilità nel garantire l’efficace tutela dei dati personali delle persone fisiche.
Il Data Protection Officer (DPO) sarà un supervisore organizzativo che offrirà supporto per raggiungere la migliore conformità possibile al GDPR: non avrà responsabilità dirette in caso di illeciti amministrativi ma resterà forte la sua imputabilità a favore del titolare e del responsabile in via di rivalsa sul piano risarcitorio.
DIRITTO DI RISARCIMENTO
L’articolo 82 del GDPR sancisce il diritto al risarcimento: "Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento".
Sia il titolare che il responsabile del trattamento sono esonerati dal risarcimento del danno solo se in grado di provare che hanno fatto tutto quello che la normativa prescrive di fare.
Il legislatore europeo poi sancisce la responsabilità solidale dei due soggetti.
L'interessato, oltre a vedersi risarcire i danni economici subiti, può chiedere il risarcimento per i danni immateriali nei seguenti casi:
- discriminazioni, furto o usurpazione d’identità, pregiudizio alla reputazione;
- la perdita o la distruzione o la divulgazione di dati da cui è possibile risalire alle convinzioni politiche, o a quelle religiose o filosofiche, all’appartenenza sindacale ovvero rischi relativi ai dati genetici, alla salute o alla vita sessuale o a condanne penali e a reati o alle misure di sicurezza;
- danni a persone vulnerabili, i minori particolare.
- tutti rischi che vanno evidentemente ben oltre la sfera patrimoniale.
I POTERI DELLE AUTORITÀ DI CONTROLLO
Ogni autorità di controllo ha poteri di indagine, correttivi, autorizzativi e consultivi:
- rivolgere avvertimenti sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento
- rivolgere ammonimenti ove i trattamenti abbiano violato le disposizioni del regolamento
- ingiungere a soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal regolamento
- ingiungere di conformare i trattamenti alle disposizioni del regolamento, se del caso, in una determinata maniera ed entro un determinato termine
- ingiungere di comunicare all’interessato una violazione dei dati personali
- imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento
- ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali
- revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma del regolamento, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti
- infliggere una sanzione amministrativa pecuniaria
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale
Nel momento in cui le autorità garanti dovranno infliggere una sanzione amministrativa terranno presente:
- la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito il dolo o la colpa riscontrati nella violazione
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto (privacy by design e privacy by default) e 32 (sicurezza del trattamento)
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
- le categorie di dati personali interessate dalla violazione
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione
- il rispetto dei provvedimenti eventialmente precedentemente disposti nei confronti del titolare del trattamento o del responsabile del trattamento
- l’adesione ai codici di condotta o ai meccanismi di certificazione
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione
SANZIONI AMMINISTRATIVE
Fino a € 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
Nei seguenti casi:
- inosservanza degli obblighi generali del titolare e del responsabile del trattamento
- inosservanza degli obblighi relativi al consenso dei minori
- inosservanza degli obblighi relativi al trattamento che non richiede l’identificazione
- inosservanza degli obblighi relativi alle certificazioni
Fino a € 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo
Nei seguenti casi:
- inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso
- inosservanza degli obblighi relativi all’informativa e ai processi decisionali automatizzati che riguardano le persone fisiche, compresa la profilazione
- inosservanza degli obblighi relativi ai trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale
- l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo.
- Il negato accesso ai dati personali quando previsto nel caso dell’esercizio dei poteri di indagine delle autorità di controllo.