Il GDPR (Regolamento generale sulla protezione dei dati), entrato in vigore a partire dal 25 maggio 2018, chiarisce gli obblighi e i doveri cui sono chiamati ad adempiere aziende e siti web che raccolgono, gestiscono e immagazzinano i dati personali degli utenti. Come facilmente intuibile, il mancato adeguamento al GDPR comporta una serie di sanzioni, che vengono comminate all’azienda o al titolare dei dati nominato dalla stessa. Apriamo ora un focus specifico sulla tipologia di infrazioni esistenti e sui rischi che si corrono in caso di inadempienze.
Con l’occasione, è bene ribadire l’importanza di configurare in maniera corretta e adeguata le impostazioni del proprio sito in modo da non esporsi ad alcun rischio: se cercate un referente esperto per assistervi in questa attività, potete contare su noi di Jits, esperti in GDPR!
Sanzioni penali e amministrative: gli organi competenti
Il non adeguamento al GDPR può comportare sanzioni sotto due punti di vista: penale e amministrativo. Per ciò che concerne l’aspetto penale, le autorità competenti in materia sono due: il Garante della privacy e la Guardia di Finanza, che operano in sinergia nel rispetto di protocolli d’intesa tra le parti e che vigilano sul rispetto del Codice della Privacy. Sul fronte amministrativo, fa fede lo stesso Regolamento Generale sulla Protezione dei Dati, più specificatamente agli articoli 83 e 84 del GDPR, che chiariscono le norme e le procedure da seguire in caso di sanzioni.
GDPR e sanzioni: cosa sapere
L’entrata in vigore del GDPR ha portato a un’integrazione delle norme e delle sanzioni relative alla violazione del codice della privacy, precedentemente regolamentato solo a livello nazionale tramite il Codice della Privacy. Il Regolamento Europeo ha introdotto una serie di sanzioni amministrative che vengono comminate in base alla tipologia e alla gravità della violazione commessa dall’azienda o dal responsabile in materia di tutela della privacy del cittadino e dell’utente. Occorre infatti chiarire che, anche precedentemente all’introduzione del GDPR, era in vigore un sistema di regole e adempimenti rivolti al titolare dei dati personali, ma il Regolamento Europeo ha organizzato in modo disciplinato e strutturato i vincoli, gli obblighi e le sanzioni imposti ai diretti interessati.
Il GDRP, oltre a introdurre nuovi obblighi per il titolare dei dati volti a tutelare la sicurezza dell’utente, ha modificato anche le modalità con cui vigilare su eventuali infrazioni: precedentemente, infatti, le sanzioni potevano scattare solo successivamente al verificarsi di episodi di violazione della privacy dell’utente; il Regolamento UE, invece, impone che vengano prese tutte le necessarie misure preventive volte a scongiurare ogni rischio di violazione della privacy dell’utente. Il non rispetto delle regole imposte a livello comunitario determina per il trasgressore sanzioni amministrative che possono arrivare fino a 10 o 20 milioni di euro o fino al 2% o al 4% del fatturato dell’azienda.
Articolo 83 del GDRP
L’articolo 83 del GDPR prevede un massimo di 10 milioni di euro di sanzioni o del 2% del fatturato per le imprese che si rendano colpevoli di inadempienze volte a tutelare la privacy del privato, come ad esempio la mancata nomina di un DPO (Responsabile della protezione dei dati) o la non comunicazione al Garante di episodi di data breach (fuga dei dati). La sanzione interessa anche soggetti che si rendano protagonisti di violazioni relative alle condizioni del consenso dei minori e casi di trattamenti illeciti dei dati personali degli utenti.
La sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato nel caso di inosservanze più gravi, come ad esempio il trasferimento illecito dei dati personali degli utenti verso Paesi esteri.
Diritto alla privacy e sanzioni penali
Come chiarito dall’articolo 84 del GDPR, le sanzioni penali sono invece gestite a livello nazionale e nel rispetto delle norme vigenti nel Paese di riferimento. In Italia fa fede il Codice della Privacy del 2003, che prevede 5 tipi di violazione:
- Trattamento dei dati gestito in modo illecito
- Acquisizione dei dati personali gestita in modo fraudolento
- Diffusione illecita dei dati personali
- Rilascio di dichiarazioni false presso il Garante delle Privacy
- Mancato rispetto dei provvedimenti del Garante delle Privacy
Con l’introduzione del GDPR, la Guardia di Finanza è stata infine nominata come ente di controllo in materia di diritto della privacy. In particolare, la GdF indaga soprattutto 3 aspetti:
- L’avvenuta nomina del DPO
- Attività di protezione in caso di data breach, intesa come perdita accidentale di dati dovuta, ad esempio, allo smarrimento di smartphone o PC
- Corretta gestione del registro dei trattamenti
Vuoi metterti al sicuro e rendere il tuo sito 100% GDPR compliance? Clicca sul pulsante qua sotto per info e preventivi!