In previsione della definitiva attuazione ed applicazione il prossimo 25 maggio 2018 nel nostro ordinamento giuridico del Nuovo Regolamento Europeo in materia di privacy, appare opportuno identificare le sanzioni previste dal detto regolamento europeo.
Tutte le sanzioni (c.d. multe) previste dal Regolamento Europeo, ai sensi dell’art. 83 del Reg. UE/2016/679 devono avere carattere di effettività, proporzionalità e dissuasività.
Le sanzioni amministrative pecuniarie riportate nell’elenco che segue, possono essere integrative, oppure completamente sostitutive delle sanzioni correttive indicate nell’elenco successivo e si distinguono in sanzioni di carattere economico e sanzioni correttive.
La decisione sull’ applicazione delle sanzioni spetta all’ autorità di controllo (in Italia: l’Autorità Garante per la Protezione dei Dati Personali), che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia:
- della natura, gravità e durata della violazione;
- del carattere doloso o colposo della violazione;
- delle misure adottate per attenuare il danno subito dagli interessati;
- delle eventuali precedenti violazioni commesse dal titolare del trattamento;
- del grado di cooperazione con l’autorità di controllo;
- degli eventuali altri fattori aggravanti;
Sanzioni di carattere economico:
Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo: fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.
Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Inosservanza di un ordine correttivo dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Sanzioni correttive:
Le sanzioni correttive sono connesse ai poteri dell’Autorità di controllo.
Essi consistono nel:
- Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR.
- Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR.
- Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti.
- Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine.
- Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali.
- Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.
- Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali.
- Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti
- Infliggere una sanzione amministrativa pecuniaria in aggiunta alle presenti misure (v. sopra).
- Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.