Blog-winfatt-gdpr-sanzioni-amministrative-e-sanzioni-penali
GDPR
Stefania Spoltore
25/06/2018

GDPR: sanzioni amministrative e sanzioni penali

Dopo aver parlato delle novità introdotte dal GDPR, classificato le tipologie dei dati e introdotto il DPO, oggi conoscerai un argomento molto importante per te e per la tua azienda: le sanzioni!

Le prime informazioni riguardo le sanzioni introdotte dal nuovo Regolamento Europeo sulla Privacy, si riferiscono, ad un massimo di € 20.000.000  per i privati e per le imprese non facenti parte di gruppi, fino al 4% del fatturato complessivo globale per i gruppi societari.

Questi numeri si riferiscono al massimo delle sanzioni applicabili in caso di mancato adeguamento o violazione del GDPR. Dobbiamo però distinguere le diverse tipologie di sanzioni a cui un’azienda può andare incontro in caso di mancata conformità o violazione.

Inizio così nel distinguere le due tipologie di sanzioni applicabili: le sanzioni amministrative e le sanzioni penali.




Le tipologie di sanzioni


Le sanzioni amministrative legate al GDPR riguardano la mancanza di informazioni chiare e trasparenti nei confronti degli utenti e le violazioni delle normative inserite nel nuovo regolamento.

L’art. 161 del Nuovo Regolamento europeo, prevede una sanzione pecuniaria da € 3.000 a € 18.000 euro, nel caso di omessa o inidonea informativa riferita a a dati personali identificativi, con l’aggiunta di casi specifici dove è previsto anche un aggravio della pena da cinquemila a trentamila euro.

L’art. 162 si riferisce alla cessione dei dati personali tra titolari autonomi del trattamento e alla comunicazione dei dati sanitari all'interessato in violazione dell’art. 84 del Codice. Con una particolarità inserita nel comma 2 bis dell’art. 162, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.


Le sanzioni penali erano state precedentemente eliminate dal Codice della Privacy ma, con i nuovi interventi sul GDPR, sono state re-inserite. 

Attualmente, sono considerati reati penali:

  • Il trattamento illecito di dati: L’art.167 del Codice della Privacy è stato riformulato nello schema di decreto in modo da continuare a punire penalmente le condotte consistenti nell’arrecare danno all'interessato, in violazione di alcune specifiche e limitate disposizioni normative. Un esempio è il trasferimento internazionale dei dati ove si fa riferimento agli articoli 45, 46 e 49 del GDPR.


  • Comunicazione e diffusione illecita di dati personali riferite ad un numero rilevante di persone:  L’art. 167-bis punisce la comunicazione e la diffusione, al fine di trarne profitto, di dati personali relativi ad un gran numero di persone, in violazione di certi requisiti normativi, quali il consenso dell’interessato.
    Per questo articolo è stata proposta una modifica includendo, tra i soggetti punibili, anche chi lo faccia al fine di nuocere ad altri.

  • Acquisizione fraudolenta: In aggiunta all’articolo precedente, è stato aggiunto l’art. 167-ter che punisce chiunque, al fine di trarne profitto, acquisisce con mezzi fraudolenti dati personali riferibili ad un numero rilevante di persone.

  • Dichiarazione del falso al garante e interruzione dei compiti del Garante: L’art. 168 comma 1 si riferisce a chiunque faccia dichiarazioni false o produca documenti falsi al Garante. Lo stesso articolo è stato integrato con il comma 2, dove è stata introdotta una pena con reclusione sino ad un anno a chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti svolti.

  • Violazioni delle norme sui controlli: l’ art. 171 si riferisce alle violazione delle norme sui controlli a distanza dei lavoratori e sulle indagine delle loro opinioni politiche, religiose o sindacali.


In questo momento non esiste un testo ufficiale, il decreto legislativo di adeguamento al nuovo Regolamento UE in materia di privacy e protezione dei dati personali, non è ancora stato approvato: la delega è stata prorogata al 21 agosto 2018.

Il  vecchio Codice della Privacy (196/2003) non è stato formalmente abrogato ma l’adeguamento al GDPR da parte delle aziende è iniziato già da molti mesi, questo provoca uno stato confusionario tra le aziende. 
Il problema sorge nelle situazioni in cui gli operatori dovranno disapplicare le parti del codice in contraddizione con il GDPR, senza però avere una certezza normativa a proposito. Ci sono alcuni adempimenti normativi che al momento possono essere sanzionati soltanto con quanto stabilito dal Codice della Privacy 196

Ti aspetto nel prossimo articolo e..
Keep calm and comply with GDPR!