Al via le sanzioni del GDPR sulla Privacy.

Al via le sanzioni del GDPR sulla Privacy.

Da oggi sarà pienamente operativo il nuovo Regolamento europeo sulla privacy (GDPR) sanzioni comprese.

E’ finito il cd. “periodo di grazia” concesso dal D. Lgs. 101/2018 che ha adeguato il nuovo GDPR con la vecchia disciplina di tutela dei dati nazionale.

Le sanzioni possono raggiungere i 20 milioni di euro.

Nella determinazione del quantum, il GDPR prevede che si debba tenere conto:

  • la natura, la gravità e la durata della violazione,
  • il carattere doloso o colposo della stessa,
  • le misure adottate dal Titolare.

Natura delle sanzioni

Le sanzioni variano a seconda del trasgressore.

Se si tratta di imprese, a tale categoria vanno ascritte quelle definite agli artt. 101 e 102 TFUE.

Se si tratta, invece, di persone fisiche “l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro e della situazione economica della persona”.

  • Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative ad esempio:al consenso dei minori, sicurezza del trattamento,notificazione dei data breach all’Autorità,comunicazione dei data breach agli interessati.
  • Sono soggette a  sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di: condizioni per il consenso, diritti degli interessati,  trasferimento di dati personali all’estero,  mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’Autorità di vigilanza

Novità

Una delle principali novità del regolamento è la “responsabilizzazione” di titolari e responsabili: “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento privacy”.

Viene, quindi, affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento tra cui:

  • “data protection by default and by design”: prevede di configurare a monte il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati.
  • rischio inerente al trattamento: rischio di impatti negativi sulle libertà e i diritti degli interessati che dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative anche di sicurezza che il titolare ritiene di dover adottare per mitigare tali rischi
  • l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare.
  • Tutti i titolari e i responsabili di trattamento devono tenere un registro delle operazioni, tranne gli organismi con meno di 250 dipendenti che non effettuano trattamenti a rischio
  • Anche la designazione di un “responsabile della protezione dati” (DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile.

 CONTATTACI