Con la sigla GDPR si intende il Regolamento generale per la protezione dei dati personali (in inglese General Data Protection Regulation). Il mancato rispetto delle disposizioni contenute in tale regolamento può portare a sanzioni e a provvedimenti che possono avere anche entità considerevoli. Cerchiamo allora di fare chiarezza su cosa accade in caso di sanzione GDPR: a quanto può ammontare e quali sono i suoi presupposti.
Che cos’è il GDPR?
Prima di approfondire il tema dell’ammontare della sanzione GDPR, vale la pena spendere delle parole sul GDPR stesso. Con questa sigla si fa infatti riferimento al cosiddetto Regolamento generale per la protezione dei dati personali n. 679/2016 (in inglese General Data Protection Regulation, da cui la sigla GDPR). Si tratta della principale normativa europea in materia di protezione dei dati personali.
In Italia la normativa è entrata in vigore il 24 maggio del 2016, ma nonostante questo è stata attuata con due anni di ritardo. All’interno del Regolamento generale per la protezione dei dati personali si trovano 99 articoli e 173 “considerando” di valore interpretativo.
Dal momento che il GDPR consiste appunto in un regolamento, gli Stati Membri dell’Unione Europea non hanno margini di libertà per quanto riguarda il suo adattamento. Questo deve infatti essere applicato alla lettera poiché deve operare al fine di regolamentare e proteggere i dati. Una misura necessaria, se si vuole fare fronte alle nuove sfide davanti alle quali le nuove tecnologie digitali ci pongono ogni giorno.
Nello specifico, lo scopo del GDPR è quello di regolamentare la protezione dei dati personali all’interno dell’Unione europea. Questo tipo di protezione, già introdotto dal Trattato di Lisbona, costituisce infatti un diritto fondamentale e perciò deve essere garantito in tutti i Paesi dell’Unione Europea.
Inoltre, il Regolamento generale per la protezione dei dati personali concorre anche allo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo. La sua funzione in questo caso è quella di assicurare una maggiore tutela dei dati e, di conseguenza, alimentare la fiducia dei cittadini nella società digitale e nell’impiego dei servizi digitali.
Sanzione GDPR: in che cosa consiste?
Il GDPR è quindi la base su cui si fonda il diritto fondamentale dei cittadini europei per la protezione dei propri dati. Nel momento in cui le disposizioni di cui al Regolamento generale per la protezione dei dati personali non sono osservate, scatta la cosiddetta sanzione GDPR.
Nel corso del tempo la tutela dei dati personali è diventata sempre più un tema centrale e attuale, tanto da portare a un inasprimento delle sanzioni dovute alla violazione della privacy. Il Garante per la Protezione dei Dati Personali (o Garante della privacy) è l’autorità amministrativa che si occupa di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. È, quindi, un ente indipendente incaricato anche di stabile la sanzione GDPR in caso di violazioni della privacy.
La violazione della privacy comporta infatti delle responsabilità amministrative, civili e penali. Ad ogni modo, l’entità della sanzione GDPR non è determinato esclusivamente dal tipo di violazione, ma anche dalla sua gravità. In base a essa e ad altri fattori di cui si fa menzione del GDPR, infatti, l’entità della multa o della sanzione amministrativa può variare.
Sanzione GDPR amministrativa
Stando a quanto sancito dal GDPR, possiamo dividere in due categorie le violazioni della privacy. Da una parte abbiamo le violazioni della legge sulla privacy, dall’altra le violazioni degli obblighi dell’organo di certificazione. Il primo caso si configura, per esempio, in assenza di:
- registro del trattamento del titolare o del responsabile del trattamento
- nomina del DPO (Data Protection Officer), ovvero il Responsabile della Protezione dei Dati. Si tratta di una figura incaricata di affiancare le attività di conservazione e gestione dei dati e dei relativi rischi in accordo con quanto disposto dal GDPR
- valutazione d’impatto sulla protezione dei dati (DPIA, da Data Protection Impact Assessment)
- notifica di databreach, ovvero mancata notifica dell’avvenuta diffusione, intenzionale o meno, di informazioni protette, private oppure confidenziali.
In questi casi la sanzione GDPR può ammontare fino a un massimo di 10 milioni di euro. In alternativa, la sanzione amministrativa può essere quantificata al massimo nel 2% del fatturato dell’impresa.
Violazione della privacy
Nel caso in cui, invece, si verifichi una violazione della privacy, le conseguenze sono ben peggiori. La violazione della privacy si verifica, per esempio, in assenza del consenso al trattamento dei dati o dell’idoneità di adeguata informativa sulla privacy. Si configura altresì in caso di violazione dei diritti dell’interessato o delle disposizioni circa il trasferimento dei dati a Paesi Terzi.
Come detto, questo tipo di violazioni può portare a una multa di massimo 20 milioni di euro. In alternativa, a una sanzione GDPR pari, al massimo, al 4% del fatturato dell’impresa.