- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
GDPR, cosa espone al rischio di essere sanzionati
Il sistema sanzionatorio delineato dal nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 679/2016, c.d. GDPR) si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie, le quali rientrano nell’insieme degli strumenti che le autorità di controllo in ogni singolo Stato membro dell’Unione Europea hanno a disposizione, al fine di assicurare una corretta ed uniforme applicazione delle disposizioni del GDPR in tutto il territorio europeo.
In particolare, nel momento in cui venga riscontrata ed accertata la violazione delle norme sancite dal GDPR, l’autorità di controllo competente (in Italia, l’Autorità Garante per la protezione dei dati personali) potrà individuare la misura di carattere sanzionatorio più appropriata al fine di porre rimedio alla situazione.
Nello specifico, come previsto dall’art. 83, sarà possibile, per l’autorità di controllo, comminare anzitutto delle sanzioni amministrative pecuniarie in presenza di un’amplissima gamma di violazioni (anche per inadempimenti parziali della normativa) specificamente elencate dalla norma stessa. Tuttavia, come vedremo meglio in seguito, l’elencazione contenuta nel GDPR è tutt’altro che d’aiuto nel circoscrivere le possibili condotte che espongono a sanzioni: l’art. 83 fa infatti riferimento a numerosissimi articoli del Regolamento, molti dei quali per di più contengono principi e regole generali.
Peraltro, in aggiunta o in alternativa alle sanzioni pecuniarie, le Autorità garanti potranno applicare anche altre misure di tipo correttivo,previste invece dall’art. 58 del GDPR (tra cui, ad esempio, rivolgere avvertimenti e ammonimenti al titolare e al responsabile in caso di violazioni riscontrate o presunte della normativa, imporre limitazioni ai trattamenti, fino a vietarli completamente, e revocare le certificazioni se i requisiti non risultano soddisfatti). La norma in ultimo richiamata fornisce, infatti, un elenco degli strumenti e dei poteri riconosciuti all’autorità di controllo competente che vanno dai poteri di indagine a quelli di accesso ai dati e ai locali aziendali, fino a quelli correttivi e consultivi.
Peraltro, come specificato poi dall’art. 83, paragrafo 3, nel caso in cui un titolare o un responsabile del trattamento dei dati violi, con dolo o con colpa, due o più disposizioni del Regolamento in relazione ad un singolo trattamento dei dati o a più trattamenti tra loro collegati, l’importo complessivo della sanzione che dovrà essere comminata non potrà in ogni caso superare l’importo corrispondente a quella più grave tra le diverse violazioni realizzate.
Inoltre, in aggiunta a quanto previsto dal GDPR, occorre tenere presente che il diritto dei singoli Stati membri dell’Unione Europea potrà anche estendere, come espressamente previsto dall’art. 83, paragrafo 7, il campo di applicazione delle misure correttive di cui all’art. 58, paragrafo 2 e delle sanzioni amministrative pecuniarie di cui all’art. 83, che potranno essere inflitte, ove previsto, non solo dal Garante, ma anche da altre autorità pubbliche dello Stato membro.
L’ordinamento giuridico di ogni singolo Stato potrà poi anche consentire, o addirittura imporre, l’irrogazione di ulteriori sanzioni amministrative pecuniarie per la violazione di disposizioni in materia di protezione dei dati personali diverse da quelle già indicate dal GDPR all’art. 83: in altre parole, l’elencazione ivi prevista potrebbe essere ulteriormente ampliata e arricchita dai singoli ordinamenti nazionali.
Questo è quanto viene stabilito specificamente dall’art. 84 del GDPR, il quale precisa che le sanzioni dovranno in ogni caso essere effettive, proporzionate e dissuasive. In questa ipotesi, ogni Stato membro dovrà notificare alla Commissione le disposizioni normative adottate in tal senso, entro il 25 maggio 2018, data in cui il GDPR sarà pienamente applicabile in tutto il territorio dell’Unione Europea.
Dovranno, del resto, essere comunicate anche tutte le successive modifiche apportate alle misure in questione senza ritardo.
Ad ogni buon conto, il GDPR precisa che ogni caso dovrà essere valutato singolarmente e con specifico riferimento alle particolarità del contesto in cui si verifica la violazione ai fini dell’applicazione concreta delle sanzioni amministrative pecuniarie.
L’art. 83, paragrafo 2 stabilisce, a questo proposito, che al momento di decidere se infliggere una sanzione amministrativa pecuniaria, e di fissare l’ammontare della stessa, si dovrà tenere nella dovuta considerazione una serie di elementi specifici che la norma stessa provvede poi ad elencare. Tra questi, come si avrà modo di precisare nel prosieguo di questo Speciale di approfondimento sul GDPR si trovano, ad esempio: la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo, le misure eventualmente adottate direttamente dal titolare o dal responsabile del trattamento al fine di attenuare il danno subito dagli interessati, le categorie di dati personali oggetto della violazione, le eventuali precedenti violazioni già commesse dal titolare o dal responsabile del trattamento, e così via.
Fonte: tomshw.it