Il Decreto Legislativo 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), all’art. 22, comma 13 stabiliva che:
“13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. “
Ti potrebbero interessare:
- Software DPIA Easy - Valutazione impatto sulla protezione dati
- La Privacy negli studi professionali (eBook)
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
1) La moratoria per le sanzioni finisce il 20 maggio?
Molti, andando oltre la interpretazione letterale della norma, hanno rinvenuto in tale comma una sorta di moratoria - operata dall’Autorità di Controllo per la protezione dei dati personali (in Italia, il Garante) riguardo all’applicazione del regime sanzionatorio disciplinato sia attraverso il Regolamento (UE) 2016/679 che il D.Lgs. n. 196/2003 modificato dal D.Lgs. n. 101/2018 -, con decorrenza presunta dal 19 maggio 2019, (la scadenza slitterebbe al 20 maggio 2019 primo giorno feriale, successivo alla domenica.)
In realtà non è così perché dal 20 maggio 2019 non sono entrate in vigore nuove norme né tanto meno nuovi profili sanzionatori.
Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.
Di seguito si riportano le tabelle relative ai due importi massimi previsti dal regolamento comunitario.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
2) Sanzioni amministrative e sanzioni penali
Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
- art. 8 (consenso dei minori),
- art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
- art. 23 (privacy by design e privacy by default),
- art. 24 (contitolarità del trattamento),
- art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
- art. 26 (Responsabili del trattamento),
- art. 27 (istruzioni e autorità del Titolare),
- art. 28 (documentazione relativa a ciascun trattamento di dati personali),
- art. 29 (cooperazione con l’Autorità di vigilanza),
- art. 30 (sicurezza del trattamento),
- art. 31 (notificazione dei data breach all’Autorità),
- art. 32 (comunicazione dei data breach agli interessati),
- art. 33 (DPIA – Data Protection Impact Assessment),
- art. 34 (consultazione preventiva dell’Autorità di vigilanza),
- artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
- art. 39 (compiti del Responsabile della protezione dei dati)
- art. 40 (processi di certificazione).
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
- principi base del trattamento, (art. 5 e ss.)
- condizioni per il consenso, (art. 7 e ss.)
- diritti degli interessati, (art. 12 e ss.)
- trasferimento di dati personali all’estero, (artt. 44 e ss.)
- mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza. (art. 58)
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
3) Le sanzioni penali per la violazione alla privacy previste in Italia
Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”.
In Italia, si registra la seguente situazione:
l’art. 167 del Codice, rubricato “Trattamento illecito di dati” dispone che:
- le violazione riguardanti la materia del trattamento dei dati personali attraverso le comunicazioni elettroniche sono punite con la reclusione da sei mesi a un anno e sei mesi.
- le violazioni che riguardano:
a) il trattamento di categorie particolari di dati (artt. 9 e 10 GDPR);
b) il trasferimento di dati personali verso un Paese terzo (cioè al di fuori della UE/SEE) o una organizzazione internazionale;
sono punite con la reclusione da uno a tre anni.
L’art. 167 – bis del Codice, rubricato “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, dispone che:
la comunicazione/diffusione, senza consenso, di un archivio automatizzato o di una parte sostanziale di esso, contenente dati personali, è punita con la reclusione da un anno a sei anni.
L’art. 167 – ter del Codice, rubricato “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, dispone che:
chi acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali è punito con la reclusione da un anno e quattro anni.
L’art. 168 del Codice, rubricato “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, dispone che:
- chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi è punito con la reclusione da sei mesi a tre anni.
- chi cagiona intenzionalmente una interruzione o turba la regolarità di un procedimento dinanzi al garante o degli accertamenti dallo stesso svolti, è punito con la reclusione sino ad un anno.
L’art. 170 del Codice, rubricato “Inosservanza di provvedimenti del Garante”, dispone che:
- chi, essendovi tenuto, non osserva i provvedimenti del Garante è punito con la reclusione da tre mesi a due anni.
Per tutti i delitti sopra richiamati, come pena accessoria è prevista la pubblicazione della sentenza.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- La Privacy negli studi professionali (eBook 2022).
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy