Caricamento...

Le Sanzioni Previste dal GDPR

Una delle novità del GDPR 2016/679 riguarda le sanzioni privacy: si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

Il nuovo regolamento europeo combina le due diverse discipline sanzionatorie penali ed amministrative. E in caso di violazione o di mancato adeguamento al GDPR le sanzioni applicate saranno calcolate in base ai criteri di effettività, proporzionalità (2% o 4% del fatturato per le imprese) e dissuasività (artt. 83 e 84 GDPR 2016/679).

Sanzioni Amministrative

L’art. 83 del GDPR 2016/679 divide le sanzioni amministrative in due gruppi.

Violazioni di minore gravità

sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Rientrano in questo ambito le violazioni degli obblighi imposti ai seguenti soggetti:

  • Il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR 2016/679);
  • L’organismo di certificazione, Accredia;
  • Organismo di controllo dei codici di condotta (art. 41 GDPR 2016/679);

Violazioni di maggiore gravità

Importi fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Riguardano le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9GDPR 2016/679;
  • dei diritti degli interessati a norma degli articoli da 12 a 22GDPR 2016/679;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49GDPR 2016/679;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2. O il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

Nota bene: Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni, lo stesso dovrà avere cura di valutare caso per caso le violazioni, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive tenendo in debito conto le circostanze di cui all’art. 83, co. 2 GDPR, ossia la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, ecc.

In alternativa o in aggiunta a queste, il Garante potrà comminare le altre sanzioni previste dall’art. 58, par. 2 GDPR. Ad esempio, in caso di violazione minore o se la sanzione pecuniaria costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto al trasgressore un ammonimento anziché imposta una sanzione pecuniaria

Ulteriori sanzioni

L’art. 84 del GDPR 2016/679, invece, lascia facoltà agli Stati membri di prevedere ulteriori sanzioni, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie di cui all’art. 83, a condizione che esse siano sempre effettive, proporzionate e dissuasive.

Proprio in virtù di tale facoltà, il D.lgs. 101/2018 ha apportato rilevanti modifiche alla Parte III, Titolo III del Codice Privacy D.lgs 196/2003, prevedendo ulteriori fattispecie di illeciti soggetti alle predette sanzioni amministrative di cui all’art. 83 del GDPR.

Codice Privacy: il nuovo articolo 166

Il nuovo art. 166 del Codice Privacy infatti, prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli:

  • 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione;

  • 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati;
  • 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto;
  • 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico;
  • alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemologica.

Il secondo comma dell’art. 166 prevede, invece, la più pesante sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa per violazioni delle disposizioni di cui agli articoli:

  • 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione;
  • 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante;
  • 2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute;
  • 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati;
  • 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute,;
  • 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali;
  • 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari;
  • 96, sui dati personali degli studenti;
  • 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica;
  • 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro;
  • 120, comma 2, in relazione alle assicurazioni;
  • 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Nota bene: tutte le altre disposizioni del Codice Privacy D.lgs 196/2003 che prevedevano sanzioni amministrative per violazioni di norme del Codice sono state abrogate dal Decreto. Nello specifico, sono stati abrogati tutti gli articoli che componevano il Capo Primo della Parte III, Titolo III del Codice Privacy (artt. da 161 a 165), fatta eccezione per l’art. 166 sopra esaminato, che è stato mantenuto con le modifiche di cui sopra.

Sanzioni penali

Con riguardo alle sanzioni penali, se da un lato il GDPR non ne prevede direttamente, lo stesso ammette dall’altro lato la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR. Nonché violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento.

Anche in questo caso è intervenuto il D.lgs. 101/2018, modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy D.lgs 196/2003ed integrando le stesse con ulteriori violazioni. Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:

  • 167 (Trattamento illecito dei dati);
  • 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
  • 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
  • 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
  • 170 (Inosservanza dei provvedimenti del Garante).