GDPR | Responsabilità e sazioni previste per violazione del Regolamento

GDPR Sanzioni e responsabilità

Le sanzioni per le violazioni nell’ambito privacy arrivano fino a milioni di euro oppure, se risulta più elevato, fino a percentuali del fatturato registrato nell’anno precedente.

Di fatto sono sanzioni pesantissime

Le sanzioni comminate dal Garante Italiano riguardano l’aspetto amministrativo e l’aspetto civilistico.

Il GDPR distingue le sanzioni in due gruppi: quelle che possono arrivare fino al 2% del fatturato totale registrato nell’esercizio precedente oppure fino a 10 milioni di euro e le altre che invece possono arrivare fino al 4% del fatturato oppure fino a 20 milioni di euro.

Ovviamente questi numeri possono interessare le aziende grandi che magari lavorano a livello internazionale.

L’art. 58 del GDPR stabilisce che il Garante Privacy, tra i suoi poteri correttivi, può rivolgere al titolare del trattamento oppure al responsabile del trattamento:

avvertimenti in merito alla possibilità di violare gli adempimenti
ammonimenti se i trattamenti hanno violano il trattamento

Le sanzioni che arrivano fino a 10 milioni di euro oppure, se risulta più elevato, fino al 2% del fatturato dell’anno precedente possono riguardare le violazioni in merito a:

Il Registro dei trattamenti
Il Documento di valutazione dei rischi
Il Documento di valutazione di impatto
La procedura di Data Breach
Il contratto di responsabile esterno
Le istruzioni agli autorizzati
La consultazione preventiva
Nomina e attività del DPO

Scopri tutti i dettagli del kit privacy

Le sanzioni che arrivano fino a 20 milioni di euro oppure, se risulta più elevato, fino al 4% del fatturato dell’anno precedente possono riguardare le violazioni in merito a:

Il principi del trattamento
Le condizioni di liceità del trattamento
La disciplina del consenso
Il diritto alla trasparenza e alla informativa
Il diritto di rettifica
Il diritto alla cancellazione dei dati
Il diritto alla limitazione del trattamento
Il diritto di opposizione al trattamento
La disciplina dei dati trasferiti all’estero
I diritti relativi alle decisioni automatizzate e alla profilazione
Le inosservanze degli ordinidella Autorità competenti
L’inosservanza di obblighi previsti per settori specialistici

CASI DI PARTICOLARE IMPORTANZA NELL’AMBITO SANZIONATORIO

Trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
Raccolta del consenso prestato dai minori di 14 anni in occasione dell’offerta diretta di servizi della società dell’informazione
Trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante
Procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute
Trattamenti di dati relativi a condanne penali e reati
Diritti delle persone decedute
Diffusione di provvedimenti giudiziari contenenti dati personali
Trattamento di dati sanitari
Dati personali degli studenti
Trattamenti a fini statistici e di ricerca scientifica
Trattamenti nell’ambito di lavoro
Assicurazioni
Servizi di comunicazione elettronica
Misure di garanzia, delle regole deontologiche
Trattamenti svolti in ambito giudiziario

LE SANZIONI PENALI NELLA PRIVACY

Per quel che concerne i comportamenti sanzionati penalmente nell’ambito della privacy abbiamo il D.Lgs. n.101 del 10 Agosto 2018 che indica nel Codice Privacy alcuni articoli.

Art. 167 Trattamento illecito dei dati personali.

Questo articolo è posto a garanzia dell’interessato nei servizi di comunicazione elettronica e sanziona la condotta di chi tratta illecitamente i dati in rete e invia comunicazioni indesiderate (spam). L’art.167 inoltre sanziona la violazione delle specifiche modalità e dei principi previsti per il trattamento dei dati definiti particolari e giudiziari e il trasferimento di dati personali a Paesi Terzi in violazione delle modalità previste dal Regolamento.

Art. 167 Bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala

Quest’articolo sanziona chi comunica o diffonde archivi automatizzati o parti sostanziali di essi contenenti dati personali oggetto di trattamento su larga scala. Lo scopo è quello di evitare la costruzione dei grossi database personali da utilizzare per scopi commerciali.

Art. 167 Ter Acquisizione fraudolenta di archivi automatizzati

Quest’articolo punisce chi, attraverso mezzi fraudolenti e allo scopo di trarre per sé o per altri profitto o di arrecare danno all’interessato, acquisisce archivi automatizzati.

Art.168 False dichiarazioni ed attestazioni al Garante

L’articolo punisce chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, nel corso di un procedimento o di accertamenti dinanzi al Garante

Art. 170 Inosservanza dei provvedimenti del garante

In questo caso la punizione riguarda il soggetto che non osserva quanto è stato disposto dal Garante (es: divieto del trattamento).

IL RUOLO DEL GARANTE

Il Garante per la Protezione dei Dati Personali è l’organo competente ad irrogare le sanzioni sopra citate, ai sensi dell’art. 15, co. 3 del d.lgs. 101/2018

Lo stesso dovrà avere cura di valutare caso per caso le violazioni, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive (art. 83, co. 1 GDPR), tenendo in debito conto le circostanze di cui all’art. 83, co. 2 GDPR, ossia la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, etc.,

Scopri il kit documentale GDPR Privacy

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Le sanzioni per le violazioni nell’ambito privacy arrivano fino a milioni di euro oppure, se risulta più elevato, fino a percentuali del fatturato registrato nell’anno precedente.

Di fatto sono sanzioni pesantissime

Le sanzioni comminate dal Garante Italiano riguardano l’aspetto amministrativo e l’aspetto civilistico.

Il GDPR distingue le sanzioni in due gruppi: quelle che possono arrivare fino al 2% del fatturato totale registrato nell’esercizio precedente oppure fino a 10 milioni di euro e le altre che invece possono arrivare fino al 4% del fatturato oppure fino a 20 milioni di euro.

Ovviamente questi numeri possono interessare le aziende grandi che magari lavorano a livello internazionale.

L’art. 58 del GDPR stabilisce che il Garante Privacy, tra i suoi poteri correttivi, può rivolgere al titolare del trattamento oppure al responsabile del trattamento:

avvertimenti in merito alla possibilità di violare gli adempimenti

ammonimenti se i trattamenti hanno violano il trattamento

Le sanzioni che arrivano fino a 10 milioni di euro oppure, se risulta più elevato, fino al 2% del fatturato dell’anno precedente possono riguardare le violazioni in merito a:

Il Registro dei trattamenti

Il Documento di valutazione dei rischi

Il Documento di valutazione di impatto

La procedura di Data Breach

Il contratto di responsabile esterno

Le istruzioni agli autorizzati

La consultazione preventiva

Nomina e attività del DPO

Le sanzioni che arrivano fino a 20 milioni di euro oppure, se risulta più elevato, fino al 4% del fatturato dell’anno precedente possono riguardare le violazioni in merito a:

Il principi del trattamento

Le condizioni di liceità del trattamento

La disciplina del consenso

Il diritto alla trasparenza e alla informativa

Il diritto di rettifica

Il diritto alla cancellazione dei dati

Il diritto alla limitazione del trattamento

Il diritto di opposizione al trattamento

La disciplina dei dati trasferiti all’estero

I diritti relativi alle decisioni automatizzate e alla profilazione

Le inosservanze degli ordinidella Autorità competenti

L’inosservanza di obblighi previsti per settori specialistici

CASI DI PARTICOLARE IMPORTANZA NELL’AMBITO SANZIONATORIO

Trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri

Raccolta del consenso prestato dai minori di 14 anni in occasione dell’offerta diretta di servizi della società dell’informazione

Trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante

Procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute

Trattamenti di dati relativi a condanne penali e reati

Diritti delle persone decedute

Diffusione di provvedimenti giudiziari contenenti dati personali

Trattamento di dati sanitari

Dati personali degli studenti

Trattamenti a fini statistici e di ricerca scientifica

Trattamenti nell’ambito di lavoro

Assicurazioni

Servizi di comunicazione elettronica

Misure di garanzia, delle regole deontologiche

Trattamenti svolti in ambito giudiziario

LE SANZIONI PENALI NELLA PRIVACY

Per quel che concerne i comportamenti sanzionati penalmente nell’ambito della privacy abbiamo il D.Lgs. n.101 del 10 Agosto 2018 che indica nel Codice Privacy alcuni articoli.

Art. 167 Trattamento illecito dei dati personali.

Art. 167 Bis Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala

Quest’articolo sanziona chi comunica o diffonde archivi automatizzati o parti sostanziali di essi contenenti dati personali oggetto di trattamento su larga scala. Lo scopo è quello di evitare la costruzione dei grossi database personali da utilizzare per scopi commerciali.

Art. 167 Ter Acquisizione fraudolenta di archivi automatizzati

Quest’articolo punisce chi, attraverso mezzi fraudolenti e allo scopo di trarre per sé o per altri profitto o di arrecare danno all’interessato, acquisisce archivi automatizzati.

Art.168 False dichiarazioni ed attestazioni al Garante

L’articolo punisce chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, nel corso di un procedimento o di accertamenti dinanzi al Garante

Art. 170 Inosservanza dei provvedimenti del garante

In questo caso la punizione riguarda il soggetto che non osserva quanto è stato disposto dal Garante (es: divieto del trattamento).

IL RUOLO DEL GARANTE

Il Garante per la Protezione dei Dati Personali è l’organo competente ad irrogare le sanzioni sopra citate, ai sensi dell’art. 15, co. 3 del d.lgs. 101/2018

Questo sito utilizza i cookies