Privacy: sanzioni amministrative e penali

Il Regolamento (UE) n. 679/2016 prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici, quali ad esempio:

- la natura, la gravità e la durata della violazione,
- il carattere doloso o colposo della stessa,
- le misure adottate dal Titolare).

Le Autorità di controllo si fanno carico di assicurare che le sanzioni siano effettivamente inflitte e che siano, altresì, proporzionate e dissuasive.

Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.

A tale riguardo il Considerando (150) precisa che “se le sanzioni amministrative sono inflitte a imprese”  a tale categoria vanno ascritte quelle definite agli artt. 101 e 102 TFUE; invece, se le sanzioni amministrative sono irrogate nei confronti di persone fisiche “l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro, come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria.”

Se il Titolare o il Responsabile hanno commesso, intenzionalmente o per negligenza, più violazioni alle disposizioni del GDPR connesse a una stessa operazione di trattamento di dati personali, l'importo totale della sanzione non dovrà superare l'importo indicato per la violazione più grave.

Lo Stato membro allorchè abbia legiferato in materia penale deve darne comunicazione alla Commissione, alla quale saranno notificate anche eventuali modifiche.
Alla luce del Considerando (150) le sanzioni penali “possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”.

1) Sanzioni amministrative per violazioni GDPR Privacy

Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale.

Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:

• art. 8  (consenso dei minori),
• art. 10  (trattamenti che non richiedono l’identificazione degli interessati),
• art. 23  (privacy by design e privacy by default),
• art. 24  (contitolarità del trattamento),
• art. 25  (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
• art. 26  (Responsabili del trattamento),
• art. 27  (istruzioni e autorità del Titolare),
• art. 28  (documentazione relativa a ciascun trattamento di dati personali),
• art. 29  (cooperazione con l’Autorità di vigilanza),
• art. 30  (sicurezza del trattamento),
• art. 31  (notificazione dei data breach all’Autorità),
• art. 32  (comunicazione dei data breach agli interessati),
• art. 33  (DPIA – Data Protection Impact Assessment),
• art. 34  (consultazione preventiva dell’Autorità di vigilanza),
• artt. 35, 36 e 37  (designazione, posizione e compiti del DPO – Data Protection Officer),
• art. 39  (compiti del Responsabile della protezione dei dati)
• art. 40  (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.

Sono soggette a  sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di:

• principi base del trattamento, (art. 5 e ss.)
• condizioni per il consenso, (art. 7 e ss.)
• diritti degli interessati, (art. 12 e ss.)
• trasferimento di dati personali all’estero, (artt. 44 e ss.)
• mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza. (art. 58)

2) Sanzioni penali per la violazione al GDPR Privacy

Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”, il Considerando (149) recita che: “Gli Stati membri dovrebbero potere stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento.

Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.