Con un comunicato stampa del 16 aprile, il CNA è intervenuto chiedendo la sospensione delle sanzioni o quanto meno un periodo di transizione, così che le PMI possano adeguarsi alla nuova normativa in tema di privacy. In particolare, il Presidente del CNA, Daniele Vaccarino, ha affermato che “Artigiani e piccole imprese ancora una volta sotto il tallone della burocrazia. Se non saranno attuate adeguate contromisure l’impatto delle norme sarà estremamente complicato da gestire. Parliamo di tutela della riservatezza e delle pesantissime sanzioni che tra poco più di un mese, il 25 maggio, colpiranno tutte le imprese che non si saranno adeguate al complesso – e per molti aspetti cervellotico -Regolamento europeo sulla privacy, detto Gdpr”.
Ma cosa cambia nell’aspetto sanzionatorio della disciplina privacy? In generale, le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”, mentre le nuove sanzioni amministrative sono disciplinate dall’articolo 84 del Regolamento. Ogni Autorità di vigilanza (in Italia il Garante della privacy) deve garantire, in ogni singolo caso, che la sanzione sia effettiva, proporzionata e dissuasiva, secondo i seguenti parametri:
- la natura, la gravità e la durata della violazione, anche in considerazione del numero degli interessati e dei danni da questi subiti;
- il carattere intenzionale o colposo dell'infrazione;
- le azioni intraprese dal Titolare o dal Responsabile per mitigare i danni subiti dagli interessati;
- il grado di Responsabilità del Titolare o del Responsabile, anche sotto il profilo tecnico, e le misure organizzative attuate per prevenire le violazioni;
- eventuali rilevanti violazioni precedenti da parte del Titolare o del Responsabile;
- il livello di cooperazione con l'Autorità di vigilanza, al fine di porre rimedio alla violazione e mitigarne i possibili effetti negativi
- le categorie di dati personali oggetto della violazione;
- l’adesione a codici di condotta o a meccanismi di certificazione riconosciuti;
- ogni altro fattore aggravante o attenuante applicabile alle circostanze del caso;
- i benefici finanziari ottenuti, o le perdite evitate, direttamente o indirettamente, per effetto della violazione commessa.
Per quanto riguarda le sanzioni amministrative invece il Nuovo Regolamento prevede che l’Autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici. Le Autorità di controllo si fanno carico di assicurare che le sanzioni siano effettivamente inflitte e che siano, altresì, proporzionate e dissuasive. Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.
Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
- art. 8 (consenso dei minori),
- art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
- art. 23 (privacy by design e privacy by default),
- art. 24 (contitolarità del trattamento),
- art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
- art. 26 (Responsabili del trattamento),
- art. 27 (istruzioni e autorità del Titolare),
- art. 28 (documentazione relativa a ciascun trattamento di dati personali),
- art. 29 (cooperazione con l’Autorità di vigilanza),
- art. 30 (sicurezza del trattamento),
- art. 31 (notificazione dei data breach all’Autorità),
- art. 32 (comunicazione dei data breach agli interessati
- art. 33 (DPIA – Data Protection Impact Assessment),
- art. 34 (consultazione preventiva dell’Autorità di vigilanza),
- artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
- art. 39 (compiti del Responsabile della protezione dei dati)
- art. 40 (processi di certificazione).
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di:
- principi base del trattamento,
- condizioni per il consenso,
- diritti degli interessati,
- trasferimento di dati personali all’estero,
- mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza.