Numerose le novità introdotte dal Regolamento UE, anche sotto il profilo sanzionatorio.
Ed invero, il Regolamento 679/16 prevede un apparato sanzionatorio molto severo, e per questo i professionisti sono chiamati ad una speciale oculatezza per non esporre i propri clienti a rischi di risarcimenti e a multe che potranno arrivar fino a 20 milioni di euro o al 4% del fatturato globale del trasgressore, cifre che neanche le aziende più grandi e le multinazionali possono permettersi di prendere alla leggera.
Ai sensi dell’art. 83, par. 4, GDPR, le sanzioni amministrative pecuniarie possono arrivare fino a 10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore, e riguardano in generale l’inosservanza degli articoli da 25 a 39 del GDPR.
A titolo esemplificativo, rientrano e sono passibili della sanzione in esame: la violazione del principio di privacy by default, mancanza dell’individuazione dei contitolari del trattamento o dei responsabili del trattamento o ancora la no corretta tenuta del registro dei trattamenti, la mancanza dello svolgimento della valutazione di impatto o della nomina del DPO).
Ancora, sempre in questa prima elencazione, sono da annoverare le violazioni degli artt.42 e 43 (organismo di certificazione) dell’art. 2-quinquies, comma 2, Cod. Privacy in tema di informativa ai minori) o del seguente art. 2-quinquiesdecies Cod. Privacy che disciplina il trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico.
Ancora, è da ricordare l’inosservanza dell’art. 132-ter Cod. Privacy in ambito delle misure di sicurezza per i fornitori di servizi di comunicazione elettronica nonché dell’art. 110 Cod. Privacy.
Si passa invece ad una possibile sanzione fino 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, se si commette la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; delle prescrizioni regolamentarie in tema di diritti degli interessati ex artt. 15 a 22; le violazioni degli articoli da 44 a 49; l’inosservanza dell’articolo 58, paragrafo 1 e 2; degli articoli 2-ter, 2-quinquies, comma 1, 2-sexies, 2-septies, comma 8, 2-octies, 2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, 157, nonche’ delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.
Per dare concretezza a quanto appena affermato attraverso “i numeri” stabiliti dal legislatore europeo, si evidenza, per esempio, che l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’art. 58, par. 2 (poteri correttivi), o il negato accesso in violazione dell’art. 58, par. 1 (poteri di indagine) comporta sanzioni pecuniarie fino a 20 milioni di euro, (o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). La medesima sanzione è prevista anche in caso di violazione delle prescrizioni del Regolamento in materia di: principi base in tema di espressione e documentazione del Consenso, principi in tema di correttezza e liceità dei trattamenti, diritti degli interessati (tra cui la Portabilità dei dati ed il Diritto all’oblio), trasferimenti transfrontalieri di dati, rispetto degli ordini e provvedimenti emessi dal Garante privacy, comunicazione di Data Breach agli interessati, rispetto di specifici divieti di trattamenti, rispetto degli obblighi per specifici casi di trattamento (come quelli che riguardano i dati dei lavoratori nell’ambito di un rapporto lavorativo.).
Evidente che la normativa sulla protezione dei dati con il Regolamento europeo non sia più tema esclusivamente giuridico, ma anche economico.