Le sanzioni. Cosa rischi se non ti metti in regola con il GDPR

Il 25 maggio 2018 entra in vigore il General Data Protection Regulation. Il GDPR è il nuovo regolamento dell’Unione Europea (più esattamente è il Regolamento Ue 2016/679) per la raccolta e il trattamento dei dati degli utenti e sostituisce tutte le normative presenti nei singoli Stati europei. Non solo. Coinvolge tutti: aziende, enti pubblici, e individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE. Il Regolamento è stato approvato ad aprile 2016, il testo è stato riportato in Gazzetta Ufficiale nel maggio dello stesso anno e dal 25 maggio le sue norme diventano vincolanti, anche a livello di sanzioni. Ecco appunto, le sanzioni. Vediamole una per una.

LEGGI ANCHE: Cosa devi sapere sul GDPR, spiegato in cinque semplici punti

Dato personale

Prima però un elemento importante. Che cosa si intende per dato personale? Secondo l'Art.4 del Regolamento è "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Max 10 milioni o 2% del fatturato

Come previsto dall'art. 83, paragrafo 4, sarà soggetta all'applicazione di sanzioni amministrative pecuniarie fino ad un massimo di 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all'esercizio precedente (se si tratta di un importo superiore ai 10 milioni di euro) la violazione di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui:

• Gli obblighi sanciti per il trattamento dei dati personali riguardanti i minori di 16 anni (art. 8)
• Gli obblighi previsti per il trattamento di dati senza necessaria identificazione dell'interessato (art. 11)
• Gli obblighi relativi alla protezione dei dati personali fin dalla progettazione e per impostazione predefinita (ovvero il rispetto dei principi di privacy by design e privacy by default), alla tenuta dei registri delle attività di trattamento, alla cooperazione con l'autorità di controllo, nonché quelli previsti in materia di sicurezza del trattamento dei dati, di notifica delle violazioni dei dati all'autorità di controllo e all'interessato, così come gli obblighi riguardanti la valutazione d'impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (art. da 25 a 39)
• Gli obblighi relativi ai meccanismi di certificazione della protezione dei dati (art. 42 e 43).

https://twitter.com/EU_Commission/status/994829457436311553

Max 20 milioni o 4% del fatturato (art. 83, paragrafo 5)

Fino al 4% del fatturato totale mondiale con un tetto massimo di 20 milioni. L’ammontare indicato è il massimo della pena possibile in caso di gravissime inadempienze e di data breach di portata molto ampia. Per tutte le violazioni intermedie si va dalla semplice richiesta da parte del Garante di azioni correttive, a sanzioni pecuniarie di importi variabili a seconda della gravità. Il Garante è legittimato a punire ogni singola inadempienza: nel caso in cui, dunque, vi fosse più di una violazione le sanzioni si sommano (ovviamente, secondo il loro grado di gravità). In questo caso il riferimento è alla violazione dei Principi fondamentali che stanno alla base di un legittimo trattamento dei dati personali. In particolare:

• In base all'art. 5, i principi di correttezza, liceità e trasparenza del trattamento, il principio di limitazione della finalità del trattamento, il principio di minimizzazione, di esattezza, di limitazione della conservazione, di integrità e riservatezza dei dati personali e, infine, di responsabilizzazione del titolare del trattamento
• Il principio di liceità del trattamento dei dati espresso dall'art. 6, in forza del quale un trattamento sarà lecito se fondato sul consenso dell'interessato, se necessario per l'esecuzione di un contratto o di misure precontrattuali di cui l'interessato sia parte, o ancora per adempiere ad un obbligo di legge da parte del titolare del trattamento o per la tutela di interessi vitali dell'interessato o di un soggetto terzo, come per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, oppure per il perseguimento del legittimo interesse del titolare del trattamento o di terzi
• I principi che, in base all'art. 7, assicurano che la prestazione del consenso, da parte dell'interessato, al trattamento dei dati personali possa essere considerato legittimo
• I principi a fondamento del legittimo trattamento di categorie particolari di dati personali, quali dati sensibili e dati relativi a condanne penali, come previsto dall'art. 9.

• Diritti sanciti in capo ai soggetti interessati a norma degli artt. da 12 a 22 del GDPR, quali:

• Il diritto di ricevere adeguate informazioni in ordine al trattamento dei propri dati personali (artt. da 12 a 14)
• Il diritto di accesso (art. 15)
• Il diritto di rettifica (art. 16)
• Il diritto all'oblio (art. 17)
• Il diritto alla limitazione del trattamento dei dati (art. 18)
• Il diritto alla portabilità dei dati (art. 20)
• Il diritto di opposizione al trattamento (art. 21); e
• Il diritto di non essere sottoposto a una decisione fondata unicamente su di un trattamento automatizzato, compresa la profilazione, e produttiva di effetti giuridici a suo carico (art. 22).

• Disposizioni riguardanti il trasferimento di dati personali a un destinatario situato in un paese terzo o un'organizzazione internazionale (in base agli artt. da 44 a 49)
• Obblighi sanciti dagli ordinamenti giuridici dei singoli stati membri e aventi ad oggetto specifiche situazioni di trattamento dei dati, come previsto ai sensi degli artt. da 85 a 91
• Ordini o limitazioni provvisorie o definitive di trattamento stabilite dall'autorità di controllo, come previsto dall'art. 58, paragrafo 2

Danno reputazionale

Oltre alle sanzioni in denaro esiste poi un danno reputazionale. Chi non si è messo in regola con il GDPR potrebbe essere fatto oggetto di esposti specifici al Garante da parte degli interessati che vedono negato il proprio diritto alla riservatezza, che è un diritto tipico delle democrazie liberali. Esposti che, di conseguenza, possono incidere pesantemente sulla reputazione delle aziende che ne ostacolano l’esercizio.

Cambio di passo

Il GDPR cambia l’impostazione dell’apparato sanzionatorio che sarà più pesante di quello attuale, con la possibilità per il Garante di modulare le sanzioni amministrative in relazione ad una serie di elementi. Le sanzioni penali saranno, invece, previste dai singoli Stati UE. L’impostazione dell’apparato sanzionatorio insomma cambierà radicalmente dal 25 maggio 2018.