Dal 25 maggio 2018 è entrato in vigore il Regolamento generale europeo sulla protezione dei dati personali: il GDPR (General Data Protection Regulation). Il GDPR è un’unica normativa sulla protezione dei dati il cui scopo è quello di garantire alle persone un maggiore controllo sui loro dati, così come quello di garantire alle imprese condizioni di parità e uniformità all’interno dell’Unione Europea.
L’articolo 4 comma 1 del GDPR definisce «dato personale» come qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato) e il comma 2 definisce «trattamento» qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
Ma quali sono i rischi in caso di mancato adeguamento al GDPR?
I rischi in caso di mancato adeguamento al GDPR sono significativi e possono avere un impatto considerevole sia in termini finanziari che reputazionali per le organizzazioni.
Cosa dice il GDPR in materia di responsabilità
Come delineato dall’Articolo 4 comma 7 e 8 del GDPR e poi approfondito nelle Linee Guida 07/2020 dell’European Data Protection Board (EDPB), è fondamentale distinguere il titolare del trattamento, che determina le finalità e i mezzi del trattamento dei dati personali, dal responsabile del trattamento, che elabora i dati personali per conto del titolare .
È importante notare che, secondo il GDPR, è necessario stipulare un atto di nomina (Data Processing Agreement o DPA) tra il titolare e il responsabile del trattamento. Questo accordo dovrebbe dettagliare le responsabilità del responsabile, includendo le misure tecniche e organizzative da adottare per proteggere i dati, e delineare la portata del trattamento che il responsabile è autorizzato a eseguire per conto del titolare.
Nel contesto del GDPR, il rischio di mancato adeguamento alle normative può comportare significative responsabilità civili e penali per le organizzazioni. Gli articoli 77-84 del GDPR delineano chiaramente i diritti degli interessati a presentare reclami, le responsabilità dei titolari e dei responsabili del trattamento, nonché le condizioni e le sanzioni per le violazioni del regolamento.
Responsabilità civile
L’Articolo 82 del GDPR stabilisce il diritto al risarcimento per i danni subiti a seguito di violazioni del GDPR. Questo significa che gli individui hanno il diritto di ricevere un risarcimento sia per danni materiali che immateriali. La responsabilità può ricadere tanto sui titolari del trattamento quanto sui responsabili del trattamento che non rispettano i requisiti del GDPR.
Il titolare del trattamento risponde della gestione effettuata dai responsabili, dovendo ricorrere per tale ruolo a soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Art. 81 GDPR), e che le sue decisioni siano conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili. Il titolare deve sempre poter sindacare le decisioni dei responsabili. In tal senso il responsabile deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Responsabilità penale
Sebbene il GDPR stesso non stabilisca sanzioni penali dirette, l’articolo 84 lascia agli Stati membri il compito di definire sanzioni penali per violazioni del regolamento. Questo significa che la natura specifica e la severità delle sanzioni penali possono variare da uno Stato membro all’altro, ma devono comunque essere effettive, proporzionate e dissuasive. Le sanzioni penali possono includere, a seconda della legislazione nazionale, multe, sanzioni o anche pene detentive per i casi più gravi di non conformità.
Sanzioni finanziarie: un rischio costoso
Nel contesto del GDPR, le sanzioni amministrative assumono un ruolo cruciale per garantire la conformità e responsabilizzare titolari e responsabili del trattamento dei dati personali. L’Articolo 58 del GDPR conferisce alle autorità di protezione dei dati personali vasti poteri correttivi, inclusa la capacità di infliggere sanzioni amministrative pecuniarie in caso di violazioni del regolamento. Questi poteri includono, tra gli altri, la possibilità di emettere avvertimenti, ammonimenti, ordinare la rettifica o la cancellazione dei dati, e imporre limitazioni al trattamento dei dati.
L’Articolo 83 stabilisce le “Condizioni generali per infliggere sanzioni amministrative pecuniarie“, sottolineando che tali sanzioni devono essere “effettive, proporzionate e dissuasive” per ogni singolo caso. Le sanzioni possono variare significativamente a seconda della gravità della violazione, con multe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’azienda, a seconda di quale sia maggiore, per le violazioni più gravi.
Le violazioni vengono categorizzate in due fasce:
- Fino a 10 milioni di euro o il 2% del fatturato annuo globale per violazioni relative a obblighi del titolare del trattamento e del responsabile del trattamento (Artt. 8, 11, 25-39, 42, 43) come le condizioni per il consenso dei minori, le misure da adottare in caso di violazione dei dati personali, la valutazione d’impatto sulla protezione dei dati (DPIA), la consultazione preventiva, e gli obblighi relativi alla certificazione, al monitoraggio e alla designazione del rappresentante dell’UE.
- Fino a 20 milioni di euro o il 4% del fatturato annuo globale per violazioni relative a principi fondamentali del trattamento, requisiti per il consenso (Artt. 5, 6, 7, 9), violazioni dei diritti degli interessati (Artt. 12-22), trasferimenti di dati a paesi terzi o organizzazioni internazionali non conformi (Artt. 44-49), inosservanza degli ordini dell’autorità di controllo, e violazioni di obblighi specifici previsti dalla legislazione degli Stati membri a norma del Capo IX del GDPR.
Le decisioni sulle sanzioni tengono conto di numerosi fattori, tra cui la natura, gravità e durata della violazione, il carattere intenzionale o negligente, le misure adottate per mitigare il danno subito dagli interessati e il grado di cooperazione con l’autorità di controllo. Questo approccio flessibile significa che non tutte le violazioni porteranno automaticamente a sanzioni pecuniarie; in alcuni casi, potrebbe essere emesso un semplice avvertimento, specialmente se la violazione è stata commessa senza dolo e sono state prese misure per attenuarne l’impatto. Inoltre, l’identità dei soggetti sanzionati può essere resa pubblica, aggiungendo un ulteriore livello di deterrenza tramite l’esposizione pubblica.
In sintesi, le sanzioni amministrative previste dal GDPR rappresentano uno strumento flessibile ma potente nelle mani delle autorità di controllo, progettato per assicurare che le organizzazioni trattino i dati personali con la massima cura e conformità. La struttura variabile delle multe, insieme alla possibilità di adottare misure correttive non pecuniarie, mira a garantire che le sanzioni siano sempre proporzionate alla violazione commessa, incentivando al tempo stesso un atteggiamento proattivo verso la protezione dei dati personali.
Sanzioni Penali
Il codice della privacy italiano (d.lgs. n. 196/03) nel capo terzo – titolo secondo, rubricato appunto Illeciti penali (artt. Dal 167- al 172) definisce una serie di reati determinandone le pene.
Come evitare sanzioni per il mancato adeguamento al GDPR?
Per evitare queste conseguenze, è essenziale adottare misure preventive, come ad esempio:
- Nomina di un Data Protection Officer (DPO): per le aziende che trattano grandi quantità di dati personali o dati particolarmente sensibili, la nomina di un DPO è obbligatoria.
- Valutazione d’impatto sulla protezione dei dati (DPIA): eseguire DPIA per i trattamenti ad alto rischio per i diritti e le libertà degli interessati.
- Misure tecniche e organizzative adeguate: assicurare la sicurezza dei dati personali attraverso criptazione, pseudonimizzazione, e l’adozione di politiche di sicurezza idonee.
- Formazione del personale: educare i dipendenti sulle pratiche corrette di trattamento dei dati e sulla conformità al GDPR.
È chiaro che il GDPR, con le sue dettagliate disposizioni sulla protezione dei dati, pone le aziende di fronte a sfide significative ma necessarie per garantire la sicurezza e la protezione dei dati personali. La complessità delle sanzioni finanziarie e delle responsabilità civili e penali sottolinea l’importanza cruciale di una gestione diligente e conforme dei dati personali. Le aziende devono adottare un approccio proattivo, valutando e migliorando continuamente le proprie pratiche di trattamento dei dati per evitare le pesanti sanzioni.
Essere adeguati al GDPR non è solo una questione di conformità legale; rappresenta anche un impegno etico verso la protezione della privacy individuale e la sicurezza dei dati. Una gestione trasparente e responsabile dei dati personali non solo minimizza il rischio di sanzioni ma rafforza anche la fiducia dei clienti e degli stakeholder, elemento fondamentale nel contesto digitale odierno.
Per le aziende che cercano supporto in questo processo complesso, Polimeni.Legal offre servizi specialistici di adeguamento al GDPR. Per ulteriori informazioni, visita Adeguamento al GDPR: affidati agli specialisti.