GDPR: cosa succede se non ci si adegua

A partire da maggio 2018 è finalmente entrato in vigore il GDPR (General Data Protection Regulation) riguardante il trattamento dei dati personali e la privacy, che sostituisce completamente il vecchio Codice della privacy. Per le aziende, i professionisti e le pubbliche amministrazioni devono adeguarsi obbligatoriamente al dettato previsto dal Decreto Legislativo 101/2018 altrimenti potrebbero incorrere in sanzioni amministrative e penali, vediamo quali sono.
sanzione amministariva

Sanzioni GDPR

È opportuno sottolineare che chi non si adegua al GDPR o non rispetta le norme contenute nel regolamento può incorrere in diversi tipi di sanzioni. Il Garante della Privacy ha sottolineato che le sanzioni verranno valutate in base alla “natura, alla gravità e alla durata dell’illecito”, quindi prima di comminare qualsiasi tipo di sanzione verrà effettuata una valutazione preventiva. Come abbiamo sottolineato in precedenza, le sanzioni previste nel GDPR sono di due tipi: amministrative o penali e nella maggior parte dei casi sono le stesse previste nel vecchio Codice della Privacy.

Le sanzioni amministrative GDPR

Per quanto riguarda le sanzioni amministrative, all’art.83 del decreto legislativo 101/2018 viene inserita una distinzione tra sanzioni amministrative di minore entità che riguardano essenzialmente il pagamento fino a 10 milioni di euro e il 2% del fatturato mondiale per quanto riguarda le imprese rispetto a quelle di maggiore entità che possono anche prevedere l’esborso di cifre pari ai 20 milioni di euro e il 4% del fatturato mondiale. Le sanzioni di minore gravità vengono comminate nel caso in cui si palesi una violazione dell’obbligo di nomina del DPO o quando si violano le condizioni relative al consenso dei dati personali da parte dei minori o quando si acquisiscono illecitamente dati personali senza comunicarlo all’utente interessato. Queste sono solo alcune delle fattispecie incriminatrici di minore entità. Quelle che prevedono sanzioni amministrative più severe riguardano essenzialmente il trasferimento illecito (cross-border) dei dati personali a un altro soggetto residente o operante in un altro paese; nel caso in cui si palesa l’inosservanza di alcuni limiti previsti per il trattamento dei dati personali riguardanti motivi di interesse pubblico; riguardanti lo stato di salute dei soggetti; che contengono informazioni circa reati e condanne penali.

CERTIFICAZIONI