Regolamento europeo privacy: sanzioni e responsabilità

Diadmin

Regolamento europeo privacy: sanzioni e responsabilità

L’entrata in vigore della nuova normativa e del regolamento europeo sulla privacy (detta GDPR, General Data Protection Regulation) comporta per le aziende un aumento dei profili di responsabilità e, conseguentemente, un ulteriore onere operativo per rendersi conformi ed evitare le pesanti sanzioni previste.

La differenza sta nella definizione: da tutela a protezione dei dati

L’oggetto della nuova normativa, infatti, non riguarda la tutela dei dati personali (come il vigente Decreto 196 del 2003) ma la loro protezione.

Ciò significa che a partire dal 25 maggio ogni organizzazione che tratti dati di terzi, a qualunque titolo, non solo deve far sì che ne sia chiaro l’utilizzo che se ne fa, eventualmente richiedendo ove previsto il consenso dell’interessato, ma è obbligata a impedirne utilizzi indesiderati e, dietro semplice richiesta del titolare di quei dati, a poterne cancellare qualunque traccia da qualunque proprio archivio, supporto o dispositivo.

GDPR e privacy: prima delle sanzioni, chi previene e chi indaga?

La titolarità del processo e le responsabilità connesse sono in capo a una nuova figura professionale denominata DPO, Data Protection Officer, che è responsabile per le violazioni in misura analoga all’amministratore o al titolare dell’impresa.

La responsabilità per la non osservanza del regolamento europeo GDPR sulla privacy comporta sanzioni molto pesanti, sia di tipo amministrativo sia di natura penale.

L’attività di controllo e di giudizio sono funzioni del Garante della Privacy, che ha al proprio interno personale adeguatamente formato. L’apertura del procedimento può avvenire d’ufficio o dietro segnalazione non anonima ed è preceduta da una notifica agli interessati.

Nuovo regolamento privacy: sanzioni amministrative fino al 2% del fatturato

Il regime sanzionatorio di tipo amministrativo per violazioni al GDPR può raggiungere ammende da 10 milioni di euro o, se l’azienda fattura più di 500 milioni di euro, il 2% del fatturato.

I casi in cui si incorre in sanzione sono:

  • violazione nella raccolta o utilizzo del consenso da parte di minori;
  • mancata nomina del Data Protection Officer;
  • omissione nell’applicazione di procedure di messa in sicurezza dei dati;
  • trattamento illecito di dati personali;
  • omissione di dichiarare una forzatura dei propri sistemi all’autorità nazionale garante, oppure dichiarazione infedele o incompleta.

Il pericolo di sanzioni è più frequente di quanto si pensi

Il terzo punto è quello più spinoso per le operazioni di tutti i giorni, perché in questa fattispecie ricade l’obbligo di cancellare su richiesta tutte le informazioni riguardanti una persona o un’azienda.

Se anche solo un numero telefonico resta memorizzato nella rubrica dello smartphone aziendale dato in uso a un dipendente, l’azienda è sanzionabile.

Capire cosa questo possa significare, in termini di procedure, è purtroppo molto semplice.

Nei casi più gravi le sanzioni salgono fino al 4% del fatturato

Stiamo parlando di casi di dolo grave o recidiva, ma in una recidiva può essere facile incappare se si tratta di casi (apparentemente banali e poco significativi, ma comunque ricadenti nell’ambito di applicazione del GDPR) come quello descritto al paragrafo precedente. Si parla di sanzioni fino a 20 milioni di euro o, se l’azienda fattura più di 500 milioni, fino al 4% del fatturato

Sanzioni commisurate alla dimensione dell’impresa e alla natura dell’infrazione

Ora, è sbagliato credere che ad ogni violazione corrispondano multe milionarie, non sarà così soprattutto perché un regime sanzionatorio di questo genere sarebbe equivalente alla decisione politica e amministrativa di distruggere tutte le piccole imprese italiane.

Quindi è prevedibile che per la tipica PMI italiana le sanzioni siano nell’ordine delle migliaia di euro. Sicuramente non in quello delle centinaia, però, quindi attenzione, perché possono essere intoppi molto fastidiosi dal punto di vista del bilancio e della cassa.

E la tua azienda? È già in regola con il GDPR?

Scopri se la tua azienda è già in regola con il nuovo regolamento europeo sulla protezione dei dati personali, ormai la data è vicina.

Ti basta rispondere a poche e semplici domande per ottenere una pre-valutazione senza alcun impegno, prima di decidere eventualmente di prendere contatto con un nostro analista per una valutazione più approfondita della tua situazione.

Info sull'autore

admin administrator