È dal 2018 che la sigla GDPR è ormai entrata nelle nostre vite quotidiane. Proprio in quell’anno infatti, è stata introdotta la General Data Protection Regulation (Regolamento Generale per la Protezione dei dati personali), meglio conosciuta appunto come GDPR.
Questo regolamento ha completamente uniformato a livello europeo la tutela della privacy e dei dati personali dei cittadini, garantendo quindi una tutela più omogenea dei diritti inviolabili. In che modo? Attraverso un sistema responsabilizzante del Titolare del trattamento (l’azienda, la Pubblica Amministrazione, l’associazione), cioè di tutti coloro che trattano dati nell’ambito della loro attività professionale, non privata.
La violazione del GDPR comporta sia sanzioni amministrative, in caso di violazione della privacy e dei dati personali, sia sanzioni penali, regolate però dai singoli Stati (in Italia fanno ancora capo al Codice della Privacy, come avveniva prima del 2018).
Ma cosa sono questi dati personali di cui tanto si parla?
Si tratta di tutte quelle informazioni che identificano o rendono identificabile una persona fisica (come dati anagrafici, informazioni sulle abitudini di vita, convinzioni religiose, ma anche codice fiscale, indirizzo IP, numero di targa dei mezzi personali, dati giudiziari).
Gli organi che vigilano sul rispetto della privacy e dei dati personali in Italia sono l’Autorità Garante per la privacy ed i nuclei operativi dedicati.
Violazioni della privacy: le conseguenze
In caso di violazione o mancato adeguamento al GDPR, i soggetti coinvolti sono:
- Il Titolare del trattamento dei dati
- il responsabile del trattamento dei dati
- l’organo che ha originariamente certificato l’adeguamento al GDPR
Cosa accade in caso di violazione o mancato adeguamento al GDPR? Il Garante della Privacy può intervenire con tre strumenti
- sanzioni amministrative
- sanzioni penali
- correttivi
Sanzioni amministrative
Per quanto riguarda le sanzioni amministrative, l’ammontare della multa non è prestabilito, ma varia di caso in caso. Esistono però limiti massimi, come vedremo in seguito.
Il GDPR indica tre criteri che guidano nella decisione dell’importo della multa:
- effettività
- dissuasività
- proporzionalità
Il GDPR indica anche due categorie di violazione della privacy, con cui si stabiliscono i limiti massimi dell’ammontare delle multe:
- violazioni meno gravi, cioè relative alle modalità di esecuzione del trattamento dati (ad esempio assenza del registro del trattamento, assenza di nomina del Data Protection Officer, assenza della valutazione Data Protection Impact Assessmentovvero la valutazione d’impatto); l’importo può arrivare fino a 10 milioni di euro oppure per le imprese fino al 2% del fatturato mondiale;
- violazioni più gravi, cioè relative ai principi GDPR (ad esempio assenza del consenso al trattamento, assenza o incorrettezza dell’informativa privacy); l’importo può arrivare fino a 20 milioni di euro oppure per le imprese fino al 4% del fatturato mondiale.
Infine, l’importo della multa viene calcolato anche in base a:
- gravità del danno
- dolo o colpa del Titolare o del responsabile
- misure prese dal Titolare o dal responsabile per attenuare il danno agli interessati
- reiterazione del danno
- combinazione di più violazioni.
Sanzioni penali
In precisi casi è possibile incorrere in sanzioni penali, che però vengono disciplinate da ciascuno Stato europeo e non dal GDPR.
Come accennato in precedenza, in Italia si continua a far riferimento al Codice della Privacy (2003), che stabilisce la reclusione fino a sei anni per le seguenti violazioni:
- trattamento illecito dei dati
- comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
- acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (sanzione da uno a quattro anni)
- falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (sanzione da sei mesi a quattro anni)
- inosservanza dei provvedimenti del Garante.
I correttivi
Infine, il GDPR prevede un’ulteriore misura che può essere rivolta al Titolare e al responsabile del trattamento, e che è precedente all’eventuale sanzione amministrativa o penale. Si tratta dei correttivi. Alcuni esempi sono i seguenti:
- limitazione, sospensione o blocco dei trattamenti
- avvertimenti per rischio di violazione delle norme
- ammonimenti per comportamenti che hanno violato le norme
- ingiunzioni a rispondere alle richieste dell’interessato.