I rischi in caso di violazione del Regolamento sono molto elevati e sottovalutare gli obblighi previsti dal GDPR potrebbe costare ben caro alle imprese inadempienti.
Eventuali violazioni delle disposizioni del Regolamento, così come una sua applicazione inesatta o parziale, comportano infatti rilevanti conseguenze, sia sul piano economico sia su quello delle attività effettuate.
Intanto, si deve partire dal presupposto che sono rafforzati dal Regolamento i diritti degli interessati e, soprattutto, gli strumenti a loro disposizione per rendere concreta la realizzazione di tali diritti nella realtà quotidiana. I titolari, da questo punto di vista, devono quindi attenersi a principi di trasparenza e di semplificazione, rendendo ogni informazione attinente ai dati personali trattati disponibile agli interessati ed agevolare loro l’accesso a tali informazioni (in primo luogo, ponendo la massima attenzione ad una corretta informativa e alla corretta gestione dei dati).
In quest’ottica di maggiori garanzie e di più efficace tutela dei diritti degli interessati, consegue, a livello di rischi concreti per i titolari in caso di violazioni del Regolamento, innanzitutto, la possibilità che gli interessati, che ritengano di aver subito una lesione del proprio diritto alla protezione dei dati personali, facciano valere il diritto ad ottenere il risarcimento integrale dei danni subiti (ai sensi dell’art. 82 GDPR). Ciascun titolare infatti è direttamente responsabile civilmente dei pregiudizi, materiali e immateriali, causati agli interessati da un trattamento illecito o scorretto di dati personali dallo stesso effettuato.
In secondo luogo, viene in rilievo l’attività di controllo del Garante per la protezione dei dati personali. Tale Autorità, singolarmente e in sinergia con le altre Autorità interne di ciascuno Stato membro, è incaricata di vigilare sulla corretta applicazione del Regolamento e di assicurarne la piena attuazione. Per svolgere correttamente e con efficacia tali compiti, il Garante può intervenire nei confronti dei titolari e dei responsabili dei trattamenti ogni qualvolta sospetti la presenza o riscontri delle concrete violazioni della normativa. A tal fine, l’Autorità Garante è dotata, in forza del Regolamento, del potere di effettuare indagini e di quello di infliggere sanzioni, di tipo inibitorio, correttivo e pecuniario nei confronti dei titolari che abbiano posto in essere violazioni delle disposizioni del GDPR o ne abbiano applicato parzialmente o in modo inesatto la disciplina.
Si tratta di sanzioni che il GDPR pretende debbano essere sempre effettive, proporzionate e dissuasive, richiedendo pertanto a ciascuno Stato membro di valutare le soluzioni più efficaci per assicurare e garantire concretamente tale risultato.
Vero è che le sanzioni applicabili dai Garanti possono variare enormemente, passando da semplici ammonimenti, a ordini di sospensione di flussi di dati o di attività di trattamento, fino all’inflizione di sanzioni pecuniarie del valore anche di 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
La scelta delle misure appropriate da applicare caso per caso è rimessa alle Autorità di controllo con lo scopo primario di garantire, appunto, una reazione effettiva, dissuasiva e proporzionata alle violazioni effettuate dai titolari. Dovranno sicuramente avere rilevanza la natura, la gravità e la durata delle violazioni, nonché la quantità dei dati personali coinvolti, le finalità di utilizzo dei dati, il carattere intenzionale o colposo della condotta, e così via. Inoltre, ciascuno di tali elementi andrà rapportato con il particolare ambito di riferimento, ad esempio, al numero di utenti di un servizio o alla popolazione di uno Stato, oppure, ancora alla tipologia di dati trattati. È evidente, però, che alcuni interventi chiarificatori al riguardo, da parte dei legislatori interni e delle stesse Autorità Garanti, sono indispensabili per determinare come verranno realmente gestiti tali poteri sanzionatori a seconda di ciascuno specifico contesto di riferimento.
A prescindere dalle indicazioni pratiche che saranno fornite, peraltro, va considerato che su questi aspetti il GDPR prevede una disciplina molto più stringenti rispetto a quella del Codice della Privacy e che non potrà essere trascurata o elusa dalla regolamentazione di dettaglio. Si pensi, a titolo esemplificativo (approfondiremo poi in apposita sede tali aspetti), che la sanzione massima pecuniaria sopra citata può essere applicata, in forza dell’art 83, co. 5, lett. (a, GDPR, anche in caso di violazione dei principi base del trattamento, tra cui quelli previsti dell’art. 5 del GDPR come i principi di liceità, correttezza, trasparenza, limitazione delle finalità, e quelli relativi alle condizioni per il rilascio del consenso.
