Il sistema sanzionatorio in caso di violazione del Regolamento

Il sistema sanzionatorio delineato dal Regolamento si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie previste dall’art. 83 e altre misure di tipo correttivo stabilite dall’art. 58.
In aggiunta a tali sanzioni il Regolamento all’art. 84 stabilisce la possibilità per l’ordinamento giuridico di ogni singolo Stato membro di imporre l’irrogazione di ulteriori sanzioni amministrative pecuniarie diverse da quelle già indicate dal Regolamento all’art. 83.
Ai fini dell’applicazione concreta delle sanzioni amministrative pecuniarie, l’art. 83, paragrafo 2 stabilisce che al momento di decidere se infliggere una sanzione amministrativa pecuniaria e l’ammontare della stessa, tale sanzione deve dare un’adeguata risposta in base alla natura, alla gravità e alle conseguenze della violazione che è stata realizzata.

Nel dettaglio il Regolamento indica:
1. in conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a. gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b. gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c. gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

2. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a. i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b. i diritti degli interessati a norma degli articoli da 12 a 22;
c. i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d. qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX.

Il Regolamento precisa che ogni singola ipotesi di violazione delle disposizioni dovrà essere valutata singolarmente ai fini dell’applicazione delle sanzioni amministrative pecuniarie nel caso di specie. A questo proposito, l’art. 83, paragrafo 2 stabilisce che:
«Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi […]».

Segue un’elencazione delle circostanze che potranno incidere, appunto, sulla misura della sanzione che dovrà essere applicata, in modo da risultare adeguata e deterrente rispetto al contesto concreto in cui la violazione è stata realizzata.

Nel determinare la portata reale della sanzione si dovranno quindi tenere in debita considerazione – come si è detto –  della natura, della gravità e della durata della violazione con riferimento anche alla natura, all’oggetto o alla finalità del trattamento in questione, nonché al numero di interessati lesi dal danno e al livello del danno da essi subito.
L’autorità di controllo potrà quindi ritenere, innanzitutto, che le circostanze specifiche nel caso concreto oggetto di valutazione non creino un rischio significativo per i diritti degli interessati; in quest’ultimo caso la sanzione potrà anche essere sostituita da un semplice ammonimento. Occorrerà poi valutare il numero di interessati coinvolti, al fine di verificare se si tratta di un evento isolato o, piuttosto, di una violazione sistematica, e la durata della violazione.

Il carattere doloso o colposo della violazione.
Il dolo delinea l’elemento soggettivo che qualifica una condotta posta in essere con la consapevolezza e l’intenzione di realizzare un determinato risultato illecito, mentre la colpa fa riferimento alla mancanza di consapevolezza e di intenzione dell’evento dannoso, dovuto piuttosto ad un mancato rispetto degli obblighi di diligenza stabiliti dal Regolamento. Una violazione dolosa è chiaramente più grave quella colposa, e di conseguenza potrà giustificare l’applicazione di una sanzione amministrativa pecuniaria.

I titolari e i responsabili del trattamento devono porre in essere le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza dei dati oggetto di trattamento che sia adeguato al rischio, effettuare valutazioni d’impatto sulla protezione dei dati e mitigare i rischi per i diritti e le libertà personali che possono derivare dal trattamento dei dati personali.
Qualora si verifichi una violazione delle disposizioni del Regolamento tale da provocare dei danni in capo all’interessato, il soggetto responsabile deve attivarsi per ridurre le conseguenze negative a carico dei soggetti coinvolti. Un tale comportamento, o l’assenza dello stesso, verrà senz’altro valutato dall’autorità di controllo nella scelta della misura sanzionatoria da applicare nel caso specifico.

In particolare, a tale proposito si dovrà valutare anzitutto se il titolare o responsabile del trattamento abbiano adottato misure tecniche rispettose dei principi della protezione dei dati fin dalla progettazione e per impostazione predefinita cd. privacy by design e by default, come previsto dall’art. 25, nonché misure di sicurezza adeguate al rischio come richiesto dall’art. 32.
Nella determinazione delle sanzioni, le autorità di controllo dovranno tenere nella giusta considerazione ogni tipo di precedente violazione del regolamento, anche se di natura diversa da quella esaminata nel caso di specie. Tali elementi potrebbero essere pertinenti ai fini della valutazione e stabilire utili indicazioni sull’eventuale insufficiente livello di conoscenza o di indifferenza verso le norme stabilite dal Regolamento.
Ulteriore elemento di valutazione della violazione risiede nell’ooggetto del trattamento. Se la violazione riguarda il trattamento di dati personali sensibili ovvero se possa comunque causare immediati danni o disagi agli interessati.

Argomenti correlati

Se la soluzione non è qui, contattaci

Non esitare, siamo a tua disposizione

Email

Esponi il tuo caso allegando, se del caso, anche dei documenti.

Telefono

Una rapida interazione con gli avvocati del nostro team senza costi.

Chat

On line ora, al passo con i tempi, per soddisfare le tue esigenze.

Appuntamento

Prenota da pc, tablet o smartphone. Paga on line o all'appuntamento.