Privacy, nuove sanzioni nel 2018 previste dal GDPR, il nuovo Regolamento Europeo per la tutela dei dati personali: in caso di violazione sono previste conseguenze sia sul piano amministrativo che penale. Ecco cosa cambia.
Privacy, quali sanzioni prevede il GDPR?
A partire dal 25 maggio 2018 è entrato in vigore il nuovo regolamento UE che prevede, in caso di violazioni, l’applicazione di sanzioni sia di natura amministrativa che penale.
Professionisti e imprese rischiano di dover pagare sanzioni fino a 20 milioni di euro o pari al 4% del fatturato nel caso di mancato rispetto degli obblighi previsti dal GDPR.
Tuttavia, per evitare falsi allarmismi, è bene sottolineare come lo stesso Antonello Soro, Presidente del Garante per la protezione dei dati personali, abbia precisato che le sanzioni non saranno uguali per tutti e soprattutto che non saranno solo pecuniarie.
Un chiarimento che fa tirare un sospiro di sollievo a tutte quelle imprese e professionisti ancora impreparati al GDPR: ad accompagnare i nuovi adempimenti obbligatori dal 25 maggio 2018, una vera e propria rivoluzione dell’insieme di misure per la tutela della privacy e dei diritti di utenti e clienti, vi è il “classico” ritardo legislativo dell’Italia.
Il decreto legislativo di adeguamento al nuovo regolamento UE in materia di privacy e protezione dei dati personali non è ancora stato approvato: la delega, inizialmente in scadenza il 21 maggio 2018, è stata prorogata al 21 agosto, creando una sorta di limbo tra quali sono ora le sanzioni previste e cosa cambia rispetto a quanto previsto, invece, dal “vecchio” Codice della Privacy.
Per il momento, ad aiutare a capire quali saranno le sanzioni privacy 2018 è il GDPR, all’interno del quale sotto il profilo amministrativo sono stabiliti gli importi massimi applicabili mentre, sotto il profilo penale, è stabilito che ciascuno Stato dovrà stabilire quali ulteriori sanzioni applicare.
Privacy 2018, le nuove sanzioni prevista dal GDPR
Il GDPR stabilisce che le nuove sanzioni privacy 2018 saranno ispirate ai principi di effettività, proporzionalità ed effettività: ad applicarle sarà l’Autorità Garante, sulla base degli elementi forniti dalla Guardia di Finanza a seguito di ispezioni e controlli.
A stabilire quali saranno le sanzioni applicate in caso di violazione della normativa o in caso di trattamento illecito dei dati degli interessati sono gli articoli 83 e 84 del Regolamento UE 2016/679.
Nello specifico, in merito alle sanzioni amministrative previste dal GDPR, l’articolo 83 del Regolamento stabilisce i seguenti limiti:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Ad oggi, come già sottolineato, si conoscono soltanto quali saranno gli importi massimi delle sanzioni e per capire quale sarà il minimo e quali i criteri specifici per il calcolo sarà necessario e indispensabile attendere l’approvazione definitiva del decreto di adeguamento.
Quel che è noto è che l’importo della sanzione sarà calcolato in base alla tipologia di illecito commesso e che, come dichiarato dall’Autorità Garante, si seguirà un approccio gradualistico e la sanzione pecuniaria sarà applicata quando le misure inibitorie e prescrittive si riterranno insufficienti.
Quali saranno le sanzioni penali
Accanto alle sanzioni amministrative resteranno anche quelle penali: il GDPR, all’articolo 84, demanda agli Stati membri il compito di stabilire le regole sulle altre tipologie di sanzione non di misura amministrativa o monetaria previste in caso di violazione.
Nello schema del d.lgls. di adeguamento al Regolamento UE 2016/679 sono state reintrodotte, dopo una prima abolizione, le sanzioni penali previste dal Codice della Privacy, salvo per alcune fattispecie che invece saranno depenalizzate.
Sarà previsto, ad esempio, il reato di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, così come ad oggi pare che sarà mantenuto il reato previsto dal comma 1 dell’articolo 168 del Codice della Privacy per false dichiarazioni o falsa documentazione prodotta al Garante.
Per conoscere nel dettaglio quali saranno le sanzioni penali applicate per violazioni compiute dal 2018 e fino a nuova modifica, è necessario attendere l’approvazione definitiva del decreto di adeguamento.
Un aspetto fondamentale è rappresentato dal fatto che al suo interno saranno previste anche le regole del periodo transitorio: si parla di una sorta di doppio binario per le sanzioni compiute fino al 21 marzo (o forse fino al 21 maggio 2018).
Per ora è bene in ogni caso parlare di ipotesi. L’unica cosa certa è che la Guardia di Finanza, come dichiarato durante il Privacy Day Forum organizzato da Federprivacy proprio il 25 maggio 2018, avvierà da subito i controlli alle imprese e ai professionisti.
Argomenti
© RIPRODUZIONE RISERVATA
