29 Mar IL NUOVO REGIME SANZIONATORIO IN MATERIA DI TUTELA DEI DATI PERSONALI
Il Gruppo di Lavoro Art. 29 ha recentemente emanato le linee guida in materia di sanzioni previste per la violazione di disposizioni in materia di tutela dei dati personali.
Come oramai ben noto, il Regolamento 2016/679, oltre ad aver introdotto innovative misure per la protezione dei dati personali, ha altresì previsto un aspro regime sanzionatorio a presidio della loro effettiva osservanza. L’irrogazione delle sanzioni spetta all’Autorità nazionale preposta alla vigilanza sull’osservanza del Regolamento; quest’ultima, nel decidere se ed in quale misura applicare le sanzioni, deve tenere conto di diversi criteri, espressamente indicati dal GDPR e ora chiariti dalle linee guida emanate dal Gruppo di Lavoro Art. 29 (c.d. “WP29”).
In prima battuta, sarà necessario vagliare la natura e la gravità della violazione, dal momento che è lo stesso Regolamento a prevedere dei massimali per la sanzione irrogabile diversi a seconda della tipologia di violazione commessa. A titolo esemplificativo, potranno essere irrogate sanzioni fino a 10 milioni di euro (o, se superiore, fino al 2% del fatturato mondiale) in caso di violazione dell’obbligo di nomina del Data Protection Officer (DPO), di mancata applicazione di misure di sicurezza o di mancata notificazione di un data breach all’Autorità nazionale competente. Tali importi massimi sono raddoppiati in ipotesi di violazioni di altre diposizioni, evidentemente ritenute più gravi, quali ad esempio l’inosservanza di un ordine imposto da un’Autorità nazionale competente o il trasferimento illecito di dati personali a soggetti residenti in un Paese terzo.
Altro fattore “principe” nella determinazione della sanzione irrogabile è il carattere doloso o colposo della violazione. Al riguardo, il WP29 ha individuato alcune condotte di per sé dimostrative del carattere doloso della violazione; si pensi al trattamento illecito autorizzato esplicitamente dall’alta dirigenza del titolare del trattamento o alla vendita di dati personali senza previa acquisizione del consenso degli interessati. Inoltre, il WP29 precisa che le imprese, essendo “responsabili dell’adozione di strutture e risorse idonee alla natura e alla complessità della propria attività”, non potranno legittimare violazioni della normativa sulla protezione dei dati appellandosi a una carenza di risorse.
Infine, il WP29 richiama ulteriori criteri di determinazione delle sanzioni irrogabili, quali le misure adottate dal trasgressore per attenuare i danni, il suo grado di responsabilità alla luce delle misure preventive adottate o la tipologia di dati trattati. Spetterà, poi, alle Autorità nazionali declinare tali criteri nei casi specifici ed indirizzare tutti gli operatori del settore nella giusta direzione.