Il Regolamento UE in materia di protezione dei dati personali (GDPR) ha introdotto due principali gruppi di sanzioni amministrative: un primo gruppo previsto in caso di violazioni di minore gravità, e uno in caso di violazioni di maggiori gravità.
Per le violazioni del primo gruppo sono previse sanzioni amministrative di importi fino a €10mln o, per le imprese, fino al 2% del fatturato globale totale annuo dell’esercizio precedente. In questa categoria rientrano, tra le varie violazioni, le seguenti casistiche:
- Mancata compilazione del registro dei trattamenti;
- Mancata nomina del DPO (Data Protection Officer);
- Mancata conduzione della DPIA (Data Protection Impact Assessment);
- Omessa notifica di violazione dei dati (data breach).
Le violazioni più gravi prevedono invece una multa fino a €20mln, o una sanzione amministrativa fino al 4% del fatturato globale annuo dell’impresa (intesa come gruppo). In questa seconda fattispecie rientrano le violazioni ai principi generali del GDPR, quali:
- Mancata acquisizione del consenso al trattamento dati;
- Mancato rispetto dei diritti dell’interessato;
- Assenza o inidoneità dell’informativa privacy;
- Violazione delle disposizioni circa il trasferimento dati verso Paesi terzi.
In aggiunta, l’Unione Europea ha lasciato spazio di manovra agli Stati membri per decidere se configurare o meno alcune violazioni del GDPR come reato. L’Italia, dopo aver revisionato la normativa del Codice della Privacy, con il D.lgs. 101/2018 ha introdotto nuove fattispecie di reato che inaspriscono ulteriormente il sistema sanzionatorio di violazione della GDPR. Fra di esse vi sono, a titolo esemplificativo:
- Trattamento illecito dei dati personali;
- Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (da 1 a 4 anni di reclusione);
- Falsità nelle dichiarazioni al Garante per la Privacy (reclusione sino a 1 anno);
- Inosservanza delle disposizioni del Garante per la Privacy (reclusione da 3 mesi a 2 anni).
L’autorità preposta all’emissione delle sanzioni è il Garante per la Privacy anche se, secondo il Protocollo d’intesa siglato nel marzo 2016, vi può essere collaborazione con il nucleo privacy della Guardia di Finanza.
Dalle sanzioni già comminate si possono però trarre degli esempi. Nel gennaio 2020 il Garante ha comminato una sanzione di €11mln e 500 mila a Eni Gas e Luce per trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Ancora, il 1° febbraio 2020, ad esempio, il Garante ha comminato una sanzione di €27mln e 800 mila a TIM per utilizzo indiscriminato di dati personali per attività di marketing.
Per rimanere sempre aggiornati, consigliamo una consultazione frequente e attenta del sito del Garante Privacy – Sezione Provvedimenti, nonché del sito GDPR Hub creato dall’attivista austriaco Max Schrems.