© 2018 Setek S.r.l. P.IVA 02082040680 

Responsabilità e sanzioni
Articolo di Stefano Castelnuovo della redazione di www.bitmat.it

GDPR

Responsabilità

Sono passibili della responsabilità e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato: mentre il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

SANZIONI

Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità della violazione e delle strategie messe in atto dall’azienda per minimizzare il rischio di perdita dei dati.

Sanzioni Pecuniarie

Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’azienda dell’esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali, come ad esempio non essere conformi al privacy by design/ by default, non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, non aver realizzato i registri delle attività di trattamento o il non aver comunicato la violazione del Data Breach all’Autority e all’interessato.

Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.

Come si può notare le sanzioni predisposte sono graduali e definiscono un tetto massimo al quale le multe possono arrivare poiché spetterà all’organo competente stabilirne l’esatto ammontare.

Sarà infatti valutata la natura, gravità e durata della violazione, se vi è responsabilità dolosa o colposa, quali sono state le misure adottate per limitare il danno, il grado di cooperazione con l’Authority e la tempestività o meno della notifica della violazione, ma anche quali dati sono stati sottratti, il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti (benefici finanziari, perdite evitate, ecc.). Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall’Authority, consapevole della loro particolare struttura.

Sanzioni Penali

Il GDPR prevede anche sanzioni penali (che saranno stabilite da una normativa non ancora esistente, ma che dovrà essere introdotta entro il 21 maggio 2018) qualora si accertasse il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazioni al Garante, oltre che l’inosservanza di misure di sicurezza e dei provvedimenti del Garante.

Oltre le Sanzioni

Secondo l’articolo 58, le autorità possono avvalersi inoltre di una serie di poteri correttivi come la possibilità di limitare o addirittura vietare un trattamento dei dati da parte dell’azienda.

 

Tutto ciò potrebbe portare l’organizzazione ad interrompere l’erogazione di un servizio o un’attività, a danno dei clienti che potrebbero richiedere un risarcimento. Si potrebbe pertanto in casi estremi ad arrivare a compromettere l’esistenza stessa dell’azienda.

Articolo completo