Il Regolamento 679/2016 prevede le violazioni che devono essere sanzionate e gli importi massimi applicabili in caso di mancato rispetto della normativa sulla privacy.
Per valutare gli importi adeguati si dovrà tenere conto di diversi parametri ma hanno grande importanza le misure adottate dal titolare.
Nel comminare la sanzione amministrativa si tiene conto tra l’altro proprio delle misure tecniche e organizzative adottate dal titolare, del rispetto della privacy by-design e by-default, dell’entità del pregiudizio arrecato, dell’eventuale colpa o dolo del titolare.
È quindi evidente che una buona organizzazione della privacy è indispensabile anche per ridurre il rischio di vedersi comminare sanzioni ed anche per ridurre la loro quantificazione.
La misura massima applicabile è infatti altissima:
a) massimo di 10.000.000 Euro o, per le imprese, fino al 2% del fatturato mondiale annuo se superiore (art. 83.4) in caso ad esempio di violazione dei seguenti obblighi:
– misure di protezione by-design, by-default;
– nomina del rappresentante del titolare o dei responsabili non stabiliti nell’UE;
– accordo tra contitolari per le responsabilità;
– consenso dei minori in merito a servizi della società dell’informazione;
– tenuta del Registro dei trattamenti;
– adozione di misure di sicurezza adeguate;
– comunicazione di data breach;
– DPIA;
– designazione del DPO.
b) massimo di 20.000.000 Euro o, per le imprese, fino al 4% del fatturato mondiale annuo se superiore (art. 83.6, 83.6 ) in caso ad esempio delle seguenti violazioni:
– principi generali del trattamento dei dati;
– violazione condizioni di liceità, per il consenso o per la revoca;
– violazioni norme per il trattamento di dati particolari, sensibili o giudiziari;
– mancato rispetto diritti dell’interessato;
– mancato rispetto principi per il trasferimento di dati extra-UE;
– violazione di norme nazionali in materia di rapporti di lavoro, archivi storici, ricerca scientifica.
Le sanzioni amministrative irrogate dall’Autorità di Controllo sono sottoposte al ricorso giurisdizionale ed al giusto processo (art. 78).
Le sanzioni saranno applicate al titolare, ma potrebbero riguardare anche il responsabile, il DPO o altri soggetti coinvolti nel trattamento.