Da oggi sarà pienamente operativo il nuovo Regolamento europeo sulla privacy (GDPR) sanzioni comprese. E' questa una delle cose a cui prestare attenzione oggi, infatti è finito il cd. "periodo di grazia" concesso dal D. Lgs 101/2018 che ha adeguato al nuovo regolamento europeo la vecchia disciplina di tutela dei dati, nazionale. Le sanzioni sono piuttosto alte, possono infatti raggiungere i 20 milioni di euro. Il Regolamento (UE) n. 679/2016 prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici, quali ad esempio:
- la natura, la gravità e la durata della violazione,
- il carattere doloso o colposo della stessa,
- le misure adottate dal Titolare.
Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa. A tale riguardo, se le sanzioni amministrative sono inflitte a imprese” a tale categoria vanno ascritte quelle definite agli artt. 101 e 102 TFUE; invece, se le sanzioni amministrative sono irrogate nei confronti di persone fisiche “l’autorità di controllo dovrebbe tenere conto del livello generale di reddito nello Stato membro, come pure della situazione economica della persona nel valutare l’importo appropriato della sanzione pecuniaria.” Laddove le sanzioni penali rimangono a carico dei singoli Stati,
- Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative ad esempio:al consenso dei minori, sicurezza del trattamento,notificazione dei data breach all’Autorità,comunicazione dei data breach agli interessati.
- Sono soggette a sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di: condizioni per il consenso, diritti degli interessati, trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza.
Il maggior cambiamento introdotto dalle norme, ormai in vigore da un anno, riguarda l’accountability. In generale infatti, una delle principali novità del regolamento è la “responsabilizzazione” o accountability di titolari e responsabili cioè “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento privacy”. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento tra cui:
- “data protection by default and by design”: prevede di configurare a monte il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati.
- rischio inerente al trattamento: rischio di impatti negativi sulle libertà e i diritti degli interessati che dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative anche di sicurezza che il titolare ritiene di dover adottare per mitigare tali rischi
- l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare. Alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l’erede dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Tutti i titolari e i responsabili di trattamento, devono tenere un registro delle operazioni di trattamento tranne gli organismi con meno di 250 dipendenti che non effettuano trattamenti a rischio. Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile