Sanzioni Privacy

Sanzioni amministrative (pecuniarie)

Il regolamento europeo 2016/679 prevede all’articolo 83 le sanzioni per le violazioni delle disposizioni contenute al suo interno, le condizioni per l’irrogazione di queste e i parametri sui quali commisurarle.

Vai alla lista/elenco sanzioni GDPR

I principi generali sui quali si basa l’impianto sanzionatorio del regolamento sono quelli dell’effettività, proporzionalità e dissuasività delle sanzioni.

Nell’irrogazione delle sanzioni, infatti, l’autorità competente dovrà tenere conto di una serie di elementi che tengono conto, in sintesi di:

  • Natura dolosa o colposa della sanzione
  • Atteggiamento del titolare o responsabile sanzionato, tanto presente quanto pregresso, sua collaborazione con l’autorità di controllo, eventuale mancata ottemperanza a precedenti provvedimenti.
  • Numero degli interessati coinvolti, tipologia di dati colpiti, rilevanza del danno per gli interessati.

Il regolamento prevede gli importi massimi delle sanzioni che sono:

  • Fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (se superiore) per le sanzioni che riguardino:
    • La violazione dei diritti degli interessati, compreso il diritto ad essere informati.
    • Il trattamento illecito di dati personali
    • La violazione dei principi base del regolamento.
    • Trasferimenti di dati verso paesi extra ue o organizzazioni internazionali in assenza delle condizioni previste dal regolamento stesso.
    • La violazione della normativa di settore nazionale.
    • L’inottemperanza a ordini o provvedimenti dell’autorità di controllo.
  • Fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo (se superiore) per le sanzioni comminate per tutte le altre violazioni.

Sanzioni penali

A tali severe sanzioni si aggiungono quelle previste dal legislatore italiano che, come permesso dal GDPR, ha scelto di inserire una serie di sanzioni penali per i soggetti che violino la disciplina a tutela dei dati personali, in particolare per:

  • Violazione delle previsioni in materia di videosorveglianza nei luoghi di lavoro e di controllo a distanza dei lavoratori.
  • il trattamento illecito di dati personali;
  • L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • La comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • Le false dichiarazioni rese al Garante;
  • L’inosservanza dei provvedimenti del Garante;

Risarcimento del danno.

Alla sanzionabilità dei comportamenti illeciti va poi aggiunta la previsione di cui all’art. 82 del regolamento, che disciplina il risarcimento del danno causato all’interessato da violazioni al regolamento.

Infatti, il titolare (o i contitolari, che saranno responsabili in solido) del trattamento che violi il regolamento dovrà rispondere nei confronti degli interessati a meno che non dimostri che il danno non gli è in alcun modo imputabile, il responsabile del trattamento, poi, dovrà rispondere qualora abbia violato le specifiche disposizione che regolano la sua figura.

Di seguito una cronistoria delle sanzioni rilevanti comminate in ambito UE per violazioni al GDPR

Elenco sanzioni privacy gdpr:

  • Sanzione ad una impresa spagnola per mancata identificazione

    Il garante spagnolo ha multato per circa 12mila euro una azienda di Madrid per aver inviato delle informazioni personali ad un soggetto diverso dall’interessato. La mancanza starebbe nel non aver identificato il richiedente.  

  • Garante tedesco sanziona società immobiliare

    Si tratta della multa più alta finora emessa in Germania, pari a 14,5 milioni di euro, comminata dall’autorità garante tedesca nei confronti di una importante società immobiliare. La violazione del GDPR è consistita nell’aver conservato i dati personali degli inquilini per un periodo di tempo illimitato, senza attivare alcuna procedura che determinasse se la conservazione […]

  • 18 milioni di euro di sanzione alle poste austriache

    L’autorità austriaca per la protezione dei dati personali (Datenschutzbehörde – DSB) ha comminato una sanzione pari a 18 milioni di euro alla Società incaricata di gestire il servizio postale nazionale. La violazione consta nell’illecito trattamento dei dati degli utenti utilizzati con lo scopo di elaborare indicazioni sul loro orientamento politico e così offrire specifiche direttive, […]

  • L’autorità spagnola sanziona una compagnia aerea

    L’AEPD ha sanzionato una nota compagnia aerea per 30mila euro. La violazione è relativa alla reale possibilità di rifiutare l’installazione dei cookie durante la navigazione sul sito web della cmpagnia. Il testo del provvedimento https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_en

  • Polonia: Sanzione per mancata implementazione di sistemi di revoca del consenso

    L’Autorità Garante della Polonia ha comminato una sanzione di oltre 201.000 PLN (equivalenti a circa 47.000 EUR) a una società, colpevole di aver ostacolato l’esercizio del diritto di revoca del consenso al trattamento dei dati personali. La società i non avrebbe infatti implementato adeguate misure tecniche e organizzative che consentissero una agevole revoca del consenso […]

  • 200mila euro di sanzione ad un fornitore di servizi telefonici greco

    L’Autorità ellenica ha imposto una sanzione di 200.000 euro per violazione dell’Articolo 25 (data protection by design) e dell’Articolo 5 ad un fornitore di servizi telefonici. La violazione scaturisce dal fatto che alcuni clienti iscritti al registro delle opposizioni, ricevevano chiamate non richieste da compagnie terze per la promozione di prodotti e servizi. Inoltre, per […]