Il Regolamento (UE) n. 679/2016 prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici, quali ad esempio:
- la natura, la gravità e la durata della violazione,
- il carattere doloso o colposo della stessa,
- le misure adottate dal Titolare).
Le Autorità di controllo si fanno carico di assicurare che le sanzioni siano effettivamente inflitte e che siano, altresì, proporzionate e dissuasive.
Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.
A tale riguardo il Considerando (150) precisa che “se le sanzioni amministrative sono inflitte a imprese” a tale categoria vanno ascritte quelle definite agli artt. 101 e 102 TFUE; invece, se le sanzioni amministrative sono irrogate nei confronti di persone fisiche “l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro, come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria.”
Se il Titolare o il Responsabile hanno commesso, intenzionalmente o per negligenza, più violazioni alle disposizioni del GDPR connesse a una stessa operazione di trattamento di dati personali, l'importo totale della sanzione non dovrà superare l'importo indicato per la violazione più grave.
Lo Stato membro allorchè abbia legiferato in materia penale deve darne comunicazione alla Commissione, alla quale saranno notificate anche eventuali modifiche.
Alla luce del Considerando (150) le sanzioni penali “possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”.
L'articolo continua dopo la pubblicità
Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva
Puo interessarti il Pacchetto contenente tre e-book: Tutela della Privacy
disponibili anche in vendita singola:
- Commento breve al Regolamento Europeo per la Privacy
- Le norme in materia di tutela della Privacy
- Privacy studi professionali (eBook 2018)
Segui anche il Dossier gratuito dedicato alla Privacy
1) Sanzioni amministrative per violazioni GDPR Privacy
Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale.
Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
- art. 8 (consenso dei minori),
- art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
- art. 23 (privacy by design e privacy by default),
- art. 24 (contitolarità del trattamento),
- art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
- art. 26 (Responsabili del trattamento),
- art. 27 (istruzioni e autorità del Titolare),
- art. 28 (documentazione relativa a ciascun trattamento di dati personali),
- art. 29 (cooperazione con l’Autorità di vigilanza),
- art. 30 (sicurezza del trattamento),
- art. 31 (notificazione dei data breach all’Autorità),
- art. 32 (comunicazione dei data breach agli interessati),
- art. 33 (DPIA – Data Protection Impact Assessment),
- art. 34 (consultazione preventiva dell’Autorità di vigilanza),
- artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
- art. 39 (compiti del Responsabile della protezione dei dati)
- art. 40 (processi di certificazione).
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di:
- principi base del trattamento, (art. 5 e ss.)
- condizioni per il consenso, (art. 7 e ss.)
- diritti degli interessati, (art. 12 e ss.)
- trasferimento di dati personali all’estero, (artt. 44 e ss.)
- mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza. (art. 58)
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
2) Sanzioni penali per la violazione al GDPR Privacy
Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”, il Considerando (149) recita che: “Gli Stati membri dovrebbero potere stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento.
Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
