Il sistema sanzionatorio

Il GDPR prevede un quadro sanzionatorio molto articolato perché prevede la possibilità di graduare la sanzione a seconda di alcuni parametri quali la gravità concreta del fatto, la dimensione dell’azienda, il danno effettivamente arrecato ai soggetti, la buona condotta dell’azienda ai fini dell’apprestamento degli adempimenti obbligatori e la valutazione di quanto fatto per rimediare ai fatti/incidenti/violazioni avvenute e per limitare l’esposizione al danno dei diritti degli utenti.
Il GDPR prevede innanzitutto all’art. 82 che Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.”
L’articolo 83 del GDPR prevede che “Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.”
L’articolo 84 del GDPR prevede che la materia penale sarà disciplinata da ogni singolo Stato, quindi le sanzioni irrogabili in base al GDPR hanno natura amministrativa.
In linea di principio, le sanzioni pecuniarie amministrative dovranno essere armonizzate tra i vari Stati e dovranno osservare criteri di effettività, proporzionalità e dissuasività.
L’art. 83 prevede che le sanzioni sono inflitte in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre al carattere colposo o doloso della violazione.
In particolare si deve tener conto di: “le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.”
Sono previste due macro-categorie di violazioni, una prima più lieve, per le violazioni dei nuovi adempimenti in materia di misure di sicurezza in capo al titolare o al responsabile, fino a 10 milioni di euro o al 2% del fatturato globale annuo mondiale dell’azienda, e una seconda collegata alle violazioni dei diritti dell’interessato e dei principi del trattamento (art. da 12 a 22), o delle norme sul trasferimento dei dati all’estero, con sanzioni fino a 20 milioni di euro e al 4% del fatturato.
Le sanzioni previste sono comunque, per una PMI, molto alte. Ciò significa che diventa fondamentale comprendere non solo come evitarle ma anche come far sì che determinati comportamenti possano, in caso di sanzione, mitigarne l’entità o addirittura annullarla.
Sicuramente dovrà porsi attenzione all'informativa, sia se omessa, sia se incompleta, e il trattamento illecito dei dati, insieme alle misure di sicurezza.
A tal fine, occorrerà tenere in considerazione e verificare di aver applicato i principi di base che il GDPR stabilisce con riferimento ai trattamenti e individuare quindi se i trattamenti siano effettuati in maniera illecita o in violazione di legge.
In particolare, i dati personali devono essere trattati in applicazione dei seguenti principi:
a) “liceità, correttezza e trasparenza” che impone che siano raccolti e trattati in modo lecito, corretto e trasparente;
b) “limitazione della finalità” che impone che siano raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità, con la precisazione che non è considerato incompatibile con le finalità iniziali un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
c) “minimizzazione dei dati” che impone che i dati siano adeguati, pertinenti e limitati rispetto a quanto necessario e strettamente strumentale alle finalità per le quali sono trattati;
d) “esattezza”e “aggiornamento” che impone devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti o ultronei rispetto alle finalità per le quali sono trattati;
e) “limitazione del tempo” che impone che i dati siano conservati per un arco di tempo non superiore a quanto necessario per il conseguimento delle finalità per le quali sono trattati. I dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell’interessato;
f) “apprestamento di misure tecniche e organizzative adeguate” idonee a garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
In caso di controversie tra le autorità, in particolare in merito alla determinazione dell’esistenza di una violazione, sarà il Comitato Europeo per la Protezione dei dati ad adottare una decisione vincolante, esaminando anche se, e in che modo, la misura correttiva adottata nel singolo caso rispetti i principi di efficacia, proporzionalità e deterrenza richiesti dal regolamento.
Un approccio armonizzato richiede la partecipazione attiva delle autorità di controllo, lo scambio d’informazioni, la collaborazione tra loro e con la Commissione europea, al fine di sostenere scambi formali e informali di informazioni. Tale cooperazione si concentrerà sulla loro esperienza e pratica nell'applicazione di poteri sanzionatori, con l’obiettivo di raggiungere una maggiore coerenza complessiva dell’intero sistema.