Nell’analisi dell’apparato sanzionatorio del GDPR ci si concentra di solito sulle rilevanti cifre previste dall’articolo 83, che arrivano a colpire Titolari e Responsabili con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo.
Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie
…
4.In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
…
5.In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento
…
6.In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
…
In realtà, come già previsto dalla legislazione vigente, le autorità di controllo hanno una serie di poteri correttivi previsti dall’articolo 58. Tali poteri prevedono fra gli altri la possibilità di limitare o vietare un trattamento. Le conseguenze economiche di una disposizione di questo tipo potrebbero essere anche più gravi di quelle derivanti da una sanzione amministrativa.
L’impossibilità di effettuare un trattamento potrebbero comportare, ad esempio, la sospensione dell’erogazione di un servizio verso i clienti, con le conseguenti possibili cause legali da parte di questi ultimi.
Se quindi le sanzioni amministrative possono avere conseguenze economiche e reputazionali, le azioni previste dall’articolo 58 possono comportare anche rischi sulla stessa sopravvivenza di un’azienda.
Articolo 58 Poteri
…
2.Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;
d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;
h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e
j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Da ultimo, i singoli Stati possono definire, ai sensi dell’articolo 84 del GDPR, le ulteriori sanzioni che intendono stabilire. Questo entro il 25 maggio 2018.
Un quadro sanzionatorio complessivo quindi molto articolato, che tuttavia è importante conoscere per una adeguata valutazione economica dei rischi di non conformità, anche al fine di valutare appropriati investimenti per adeguarsi alla norma.
Articolo 84 Sanzioni
1.Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
2.Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.