GDPR: Sanzioni pecuniarie (Guida al GDPR 7.2)

unione europea

Le sanzioni amministrative pecuniarie previste dal GDPR dovranno essere disposte in modo tale da poter dare un’adeguata risposta in base alla natura, alla gravità e alle conseguenze della violazione che è stata realizzata.

Volendo scendere nel merito delle singole sanzioni pecuniarie previste dal GDPR, emerge anzitutto il fatto che il Regolamento, indicando due diversi massimali (€ 10.000.000 e € 20.000.000), riconosce il fatto che la violazione di alcune disposizioni sarà nettamente più grave rispetto alla violazione di altre.

In particolare, come previsto dall’art. 83, paragrafo 4, sarà “soggetta all’applicazione di sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all’esercizio precedente” (se si tratta di un importo superiore ai 10 milioni di euro) la violazione, anzitutto, di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui, ad esempio:

  • Gli obblighi sanciti per il trattamento dei dati personali riguardanti soggetti minori di 16 anni (art. 8);
  • Gli obblighi previsti per il trattamento di dati senza necessaria identificazione dell’interessato (art. 11);
  • Gli obblighi relativi alla protezione dei dati personali fin dalla progettazione e per impostazione predefinita (ovvero il rispetto dei principi di privacy by design e privacy by default), alla tenuta dei registri delle attività di trattamento, alla cooperazione con l’autorità di controllo, nonché quelli previsti in materia di sicurezza del trattamento dei dati, di notifica delle violazioni dei dati all’autorità di controllo e all’interessato, così come gli obblighi riguardanti la valutazione d’impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (artt. da 25 a 39);
  • Gli obblighi relativi ai meccanismi di certificazione della protezione dei dati (artt. 42 e 43).

Questa stessa sanzione potrà essere applicata poi, come previsto dall’art. 83, paragrafo 4, lett. b) e c), anche nel caso di violazione degli obblighi sanciti in capo all’organismo di certificazione della protezione dei dati dagli artt. 42 e 43 e degli obblighi dell’organismo di controllo per quanto concerne il monitoraggio della conformità dei codici di condotta approvati, di cui all’art. 41, paragrafo 4.

Darà luogo, invece, all’applicazione di sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente” (se si tratta di un importo superiore a 20 milioni di euro) la violazione di:

  • Principi fondamentali che stanno alla base di un legittimo trattamento dei dati personali, ossia:
  • In base all’art. 5, i principi di correttezza, liceità e trasparenza del trattamento, il principio di limitazione della finalità del trattamento, il principio di minimizzazione, di esattezza, di limitazione della conservazione, di integrità e riservatezza dei dati personali e, infine, di responsabilizzazione del titolare del trattamento;
  • Il principio di liceità del trattamento dei dati espresso dall’art. 6, in forza del quale un trattamento sarà lecito se fondato sul consenso dell’interessato, se necessario per l’esecuzione di un contratto o di misure precontrattuali di cui l’interessato sia parte, o ancora per adempiere ad un obbligo di legge da parte del titolare del trattamento o per la tutela di interessi vitali dell’interessato o di un soggetto terzo, come per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, oppure per il perseguimento del legittimo interesse del titolare del trattamento o di terzi;
  • I principi che, in base all’art. 7, assicurano che la prestazione del consenso, da parte dell’interessato, al trattamento dei dati personali possa essere considerato legittimo; e infine
  • I principi a fondamento del legittimo trattamento di categorie particolari di dati personali, quali dati sensibili e dati relativi a condanne penali, come previsto dall’art. 9.
  • Diritti sanciti in capo ai soggetti interessati a norma degli artt. da 12 a 22 del GDPR, quali:
  • Il diritto di ricevere adeguate informazioni in ordine al trattamento dei propri dati personali (artt. da 12 a 14);
  • Il diritto di accesso (art. 15);
  • Il diritto di rettifica (art. 16);
  • Il diritto all’oblio (art. 17);
  • Il diritto alla limitazione del trattamento dei dati (art. 18);
  • Il diritto alla portabilità dei dati (art. 20);
  • Il diritto di opposizione al trattamento (art. 21); e, infine
  • Il diritto di non essere sottoposto a una decisione fondata unicamente su di un trattamento automatizzato, compresa la profilazione, e produttiva di effetti giuridici a suo carico (art. 22).
  • Disposizioni riguardanti il trasferimento di dati personali a un destinatario situato in un paese terzo o un’organizzazione internazionale (in base agli artt. da 44 a 49);
  • Obblighi sanciti dagli ordinamenti giuridici dei singoli stati membri e aventi ad oggetto specifiche situazioni di trattamento dei dati, come previsto ai sensi degli artt. da 85 a 91; e infine
  • Ordini o limitazioni provvisorie o definitive di trattamento stabilite dall’autorità di controllo, come previsto dall’art. 58, paragrafo 2.

Da quanto riportato emerge che, a differenza di quanto previsto dall’attuale normativa interna, il GDPR introduce delle sanzioni effettive e particolarmente elevate per far fronte alla violazione dei principi fondamentali in materia di protezione dei dati personali. Per quanto sia vero che la concreta determinazione delle sanzioni andrà stabilita in stretto rapporto al contesto ed alla gravità della violazione, non può lasciare indifferenti il fatto che da un’informativa inadeguata resa agli interessati possano derivare sanzioni di un valore pari a 2 milioni di euro. È evidente che nell’ottica del GDPR al rispetto dei principi essenziali è riconosciuta un’importanza estrema; è altrettanto evidente, però, l’enorme portata potenziale di simili previsioni normative e la massima attenzione che i titolari dovranno porre per garantirne il rispetto.

FocusGDPRNormativaPrivacy e sicurezza Informatica
aprile 4, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it