Come anticipato nell’articolo di settembre, oggi parleremo dei poteri del Garante privacy e delle sanzioni che può infliggere.
Il Garante per la protezione dei dati personali in Italia è l’autorità indipendente che ha il compito di vigilare sull’applicazione della normativa in materia di protezione dei dati personali (GDPR e Codice privacy).
In generale il Garante ha poteri i) di controllo e investigazione; ii) di intervento, limitando ad esempio trattamenti o imponendo misure correttive; iii) di regolamentazione, come quando emana le sue Linee Guida; iv) di consultazione fornendo, ad esempio, pareri su proposte di legge; v) di promozione della consapevolezza e vi) poteri sanzionatori.
Per quanto di ns. interesse si segnalano i poteri di controllo e investigazione. Il Garante infatti può condurre, anche tramite il Nucleo privacy della Guardia di Finanza, ispezioni presso aziende ed organizzazioni, per verificare il rispetto della normativa, accedendo ai locali e agli strumenti elettronici per acquisire documentazione utile a valutare il trattamento dei dati. Inoltre può richiedere informazioni e ottenere copie di documenti per accertare eventuali violazioni e può anche interrogare le persone responsabili del trattamento dei dati.
Rilevanti anche i Poteri di intervento in quanto, a seguito dei controlli, può imporre limitazioni temporanee o definitive al trattamento dei dati personali, arrivando anche a sospendere o vietare certi trattamenti in caso di gravi irregolarità, così come può stabilire misure correttive per consentire al Titolare il rispetto della normativa ed evitare sanzioni.
Infine ha Poteri sanzionatori potendo applicare sanzioni amministrative (pecuniarie) e penali per le violazioni accertate.
SANZIONI AMMINISTRATIVE
- Fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale (a seconda di quale cifra sia maggiore) per violazioni meno gravi, come ad esempio:
Mancata cooperazione con il Garante.
Mancato adempimento degli obblighi di sicurezza dei dati.
Inosservanza delle misure di minimizzazione dei dati.
- Fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale (a seconda di quale cifra sia maggiore) per violazioni più gravi, come:
Violazione dei diritti degli interessati (come il diritto all’oblio, alla portabilità dei dati, ecc.).
Mancata richiesta del consenso per il trattamento dei dati sensibili.
Violazioni dei principi fondamentali del GDPR (come la liceità e trasparenza del trattamento).
SANZIONI PENALI
Oltre alle sanzioni amministrative, in alcuni casi particolarmente gravi, possono essere applicate sanzioni penali, come previsto dal Codice della privacy (D.Lgs. 196/2003).
Ad esempio: La diffusione illecita di dati sensibili o giudiziari può essere punita con la reclusione.
Il trattamento illecito dei dati può comportare l’arresto o una multa.
In casi di particolare gravità, il Garante può imporre il BLOCCO o LIMITAZIONE temporanea del trattamento, ordinando alla società o ente di interrompere il trattamento fino a quando non siano rispettate le normative. Esempi di violazioni sanzionabili
Mancata notifica di una violazione dei dati (data breach) entro il termine di 72 ore.
Trattamento di dati personali senza una base giuridica valida.
Mancato rispetto dei diritti degli interessati, come il diritto di accesso o di cancellazione dei dati.
Come si può notare le condotte che possono comportare l’applicazione delle sanzioni massime derivano da violazioni di principi base del GDPR come, ad esempio, la mancanza di idonea informativa all’interessato, la mancanza del consenso, il mancato riscontro alle richieste dell’interessato; violazioni dunque cui possono incorrere tutte le aziende, non solo i grandi colossi imprenditoriali o del web.
Chiunque pertanto può commettere violazioni e incorrere in sanzioni, anche rilevanti. Ecco perché è realmente importante affidarsi a consulenti competenti e capaci senza improvvisare, così come è importante avere una comprensione adeguata delle norme e delle procedure previste dal GDPR.
La formazione infatti è essenziale per ridurre il rischio di violazioni e per assicurare che i diritti degli interessati siano tutelati. Di formazione parleremo nella prossima newsletter.
Avv. Annalisa Barbaglia