GDPR: il sistema sanzionatorio

Il GDPR formalizza le condizioni generali per infliggere sanzioni amministrative pecuniarie a quei soggetti, titolari o responsabili, che violano uno o più disposizioni del regolamento stesso.

Come rammentato dall’Articolo 83, infatti, le più gravi sanzioni pecuniarie possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato mondiale annuo.

 

Gravità violazioni GDPR

 

Nello specifico il legislatore europeo individua due casistiche gravi ed assegna loro due limiti massimi di relativa sanzione:

 

–  per le violazioni agli obblighi del titolare del trattamento o del responsabile del trattamento, come ad esempio non aver rispettato gravemente gli aspetti legati ad un eventuale data breach, oppure non aver predisposto un registro delle attività di trattamento, oppure ancora non aver nominato un DPO (data protection officer) ove previsto, il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro, oppure per le imprese fino al 2% del fatturato mondiale annuo;

–  per le violazioni ai principi del trattamento(articoli da 5 a 9) ai diritti degli interessati, ai trasferimenti di dati personali verso un Paese terzo, alle legislazioni degli stati membri, agli ordini di limitazione di trattamento, il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato mondiale annuo.

 

Sanzioni quindi molto significative, che fanno sperare in un cambio di rotta nella gestione della privacy da parte di molte aziende che attualmente la considerano in modo marginale.

 

Sanzioni commisurate

 

Chiaramente questo non vuol dire che, alla prima problematica con il regolamento, sarà applicata la massima sanzione a tutte le aziende. Al contrario il comma 1 dello stesso articolo 83 prevede che le sanzioni siano inflitte in relazione al singolo caso e comunque effettive, proporzionate e dissuasive.

 

Tali sanzioni possono essere prescritte dal Garante, che dovrà tenere conto di una serie di parametri che comprendono, la natura, la gravità, la durata della violazione, così come la finalità del trattamento, il numero di interessati e il danno cagionato

 

Sarà tenuto in considerazione anche l’aspetto di volontarietà (carattere doloso o colposo della violazione) così come le attenuanti del caso. Tra queste le misure adottate dal titolare per attenuare il danno, l’adesione e codici di condotta o a meccanismi di certificazione e altre attenuanti o aggravanti applicabili alle circostanze del caso.

                                                                                                                                                                                                                                                          

 

ESHQ Consulting si occupa di supportare il Cliente nell’effettuare gli adeguamenti normativi previsti dal Regolamento Euopeo.

L’adeguamento al nuovo Regolamento, oltre ad essere un obbligo di legge sanzionato, è importante per garantire corretti rapporti con i clienti e i fornitori nell’ottica della trasparenza e del rispetto dei principi etici.

 

Inoltre, il sistema di governance dei dati previsto dal Regolamento, può essere esteso al trattamento di tutti i dati aziendali confidenziali o critici per il business, che a loro volta sono esposti a rischi significativi in caso di perdita o di violazione della confidenzialità, basti pensare alla perdita o sottrazione di strumenti informatici portatili oppure alle mail inviate inavvertitamente all’indirizzo sbagliato o che vengono intercettate da estranei.

 

Per maggiori dettagli sui servizi erogati visita la sezione “Cataloghi e Schede servizio”

 

Per maggiori informazioni: info@eshqconsulting.it

(Fonte: PMI)

Translate »