Sanzioni amministrative pecuniarie: cosa dice il GDPR?

Sanzioni amministrative pecuniarie

Per impostare un corretto sistema di data protection è necessario che vengano implementate ed applicate coerentemente le norme relative alla protezione dei dati. Uno degli elementi chiave introdotti dal nuovo Regolamento Europeo è quello delle sanzioni amministrative pecuniarie. L’autorità di controllo, una volta accertata la violazione, individua le misure correttive da implementare per far fronte alla violazione rilevata. Gli strumenti pratici che le autorità hanno a disposizione sono indicati nell’articolo 58. Tuttavia, ricorrendo all’utilizzo delle sanzioni, l’autorità di controllo deve rispettare dei principi, elencati di seguito.

Sanzioni: principio 1

  1. La violazione del regolamento dovrebbe comportare l’imposizione di “sanzioni equivalenti”.

Cosa si intende per “equivalenza”? Questo concetto permette di stabilire la portata degli obblighi delle autorità di controllo di garantire coerenza nel caso in cui si ricorra a poteri correttivi descritti nell’art. 58 par. 2 a livello generale.

Il Considerando 10, a questo proposito:

Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dovrebbe essere equivalente in tutti gli Stati membri”.

Il Considerando seguente, l’11, spiega ciò che è necessario per garantire un livello equivalente di protezione:

poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri”.

A completare il quadro, il Considerando 13 che indica come sanzioni equivalenti e cooperazione tra le varie autorità di controllo possano:

prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno”.

Il nuovo regolamento europeo GDPR offre una base stabile che aiuta a raggiungere uniformità e coerenza, in quanto applicabile in tutti gli Stati Membri. Nonostante questo, le autorità di controllo agiscono indipendentemente dai governi nazionali, i titolari di trattamento e i responsabili del trattamento e devono cooperare

al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento”.

Questo principio è applicabile nel caso in cui le misure correttive siano imposte sotto forma di sanzioni pecuniarie.

Inizia il tuo Free trial!

in collaboration with
CISCO

Sanzioni: principio 2

  1. Come tutte le misure correttive scelte dalle autorità di controllo, le sanzioni amministrative pecuniarie dovrebbero essere “effettive, proporzionate e dissuasive”.

Le sanzioni amministrative devono essere commisurate e rispondere in maniera adeguata a:

  • Natura;
  • Gravità;
  • Conseguenze

della violazione. Compito delle attività di controllo è quello di valutare il caso in tutte le sue circostanze in modo coerente ed oggettivamente giustificato. Stando a quanto riportato dal primo paragrafo dell’articolo 83 della normativa, le autorità di controllo hanno come obiettivo quello di trovare misure correttive “effettive, proporzionate e dissuasive”. Questo sia per quanto riguarda i casi nazionali che per quanto riguarda i casi di trattamento dati transfrontaliero dei dati.

Sanzioni: principio 3

  1. L’autorità di controllo competente effettuerà una valutazione “in ogni singolo caso”

Il regolamento riporta la singolarità di valutazione per ogni singola casistica. Come starting point di questa valutazione, è presente l’articolo 83 che prevede che:

al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi…”.

Come conseguenza, l’autorità è incaricata a stabilire la/le misure idonee.

Sanzioni: principio 4

  1. Un approccio armonizzato alle sanzioni amministrative pecuniarie in materia di protezione dei dati richiede la partecipazione attiva delle autorità di controllo e lo scambio di informazioni tra le stesse.

Le linee guida in essere riconoscono che i poteri sanzionatori riconosciuti alle autorità di controllo nazionali sono una novità (almeno per alcune di esse) nel campo della data protection. Questo cambiamento implica inoltre il sollevarsi di questioni relative a procedure, risorse ed organizzazione.

Inizia il tuo Free trial!

in collaboration with
CISCO

Sanzioni: criteri di implementazione

L’articolo 83, paragrafo 2 stabilisce i criteri per individuare l’opportunità di irrogare una sanzione amministrativa e l’importo della stessa.

Sanzioni: criterio 1

  • natura, gravità e durata della violazione

Il regolamento stabilisce due livelli massimi relativi alle sanzioni amministrative pecuniarie (10/20 milioni di €), ma non fissa mai ed in nessun caso un importo specifico. Facendo questo viene già fornita un’indicazione riguardo alla violazione di una disposizione piuttosto che un’altra.

Il Considerando 148, invece, parla di “violazioni minori. Questa tipologia di violazioni può riferirsi alla violazione di una (o più) disposizioni del regolamento GDPR elencate nell’art. 83 (paragrafi 4 o 5).

La natura della violazione e

l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito

forniranno un’indicazione della gravità della violazione.

Risulta sempre necessario valutare alcuni criteri come:

  • Il numero dei soggetti interessati coinvolti. Questo ha lo scopo di stabilire se l’evento è isolato o legato ad una situazione sistemica oppure legato all’assenza di prassi o best practice idonee.
  • Le finalità del trattamento. A questo proposito sono stati identificati i due elementi cardine di questo principio della normativa, ossia: indicazione specifica della finalità e utilizzo compatibile.
  • Se gli interessanti hanno subito un danno, è necessario stabilirne l’entità. Come stabilito dal Considerando 75, il trattamento dei dati personali può generare rischi per i diritti e le libertà
  • La durata che può dare importanti indicazioni circa:
    • La condotta intenzionale del titolare;
    • La non adozione di misure di prevenzione idonee;
    • L’inabilità nell’adottare le adeguate misure sia a livello tecnico che organizzativo.

Sanzioni: criterio 2

  • il carattere doloso o colposo della violazione

Il “dolo” racchiude al suo interno entrambe:

  • Consapevolezza e
  • Intenzionalità

relativamente alle caratteristiche di una violazione. La “colpa” invece presuppone la non intenzione di causare la violazione in essere. Ovviamente una violazione dolosa viene giudicata più gravemente di una violazione colposa e può, di conseguenza, giustificare l’irrogazione di una sanzione amministrativa pecuniaria.

Sanzioni: criterio 3

  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

E’ obbligo del titolare e/o del responsabile del trattamento:

  • implementare le adeguate misure a livello tecnico ed organizzativo che possano assicurare un livello di sicurezza in linea con il rischio;
  • effettuare DPIA (Data Protection Impact Assessment) o valutazioni di impatto sui dati;
  • alleviare e mitigare i rischi per i diritti e le libertà personali derivanti dal trattamento.
Inizia il tuo Free trial!

in collaboration with
CISCO

Sanzioni: criterio 4

  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

Ci sono vari criteri che possono determinare il grado di responsabilità da parte del titolare e del responsabile del trattamento, questo viene valutato relativamente all’implementazione di una misura correttiva idonea, può dipendere da:

  • Il titolare ha implementato misure a livello tecnico in linea con i principi della data protection fin dalla fase di progettazione o come impostazione predefinita?
  • Il titolare ha implementato misure a livello organizzativo in linea con i principi della data protection fin dalla fase di progettazione o come impostazione predefinita?
  • Il titolare e/o responsabile ha implementato un livello di sicurezza adeguato?
  • Le prassi/politiche pertinenti in materia di data protection sono note e applicate al livello idoneo di gestione dell’organizzazione?

Sanzioni: criterio 5

  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

Questo criterio è indicativo circa eventuali precedenti violazioni effettuate dal titolare e/o dal responsabile. Da parte dell’autorità di controllo, da effettuare ci sono le seguenti verifiche:

  • il titolare e/o responsabile ha precedentemente commesso la medesima violazione?
  • il titolare e/o responsabile ha precedentemente commesso una violazione con modalità analoghe?

Sanzioni: criterio 6

  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

In accordo con l’articolo 83 (par. 2), il grado di cooperazione deve essere tenuto in “debito conto” prima di infliggere una sanzione amministrativa pecuniaria.

Sanzioni: criterio 7

  • le categorie di dati personali interessate dalla violazione;

Le domande cui l’autorità di controllo deve rispondere, in questo specifico ambito, sono:

  • Sono coinvolte dalla violazione categorie particolari di dati ( dati sensibili ) descritte negli articoli 9 e 10 del GDPR?
  • I dati sono direttamente/indirettamente identificabili?
  • I dati in questione, nel caso fossero diffusi, potrebbero arrecare danno o disagio al soggetto interessato?
  • I dati sono criptati?
Inizia il tuo Free trial!

in collaboration with
CISCO

Sanzioni: criterio 8

  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

A questo proposito il titolare ha l’obbligo di notifica all’autorità di controllo in caso di violazione dei dati personali.

Sanzioni: criterio 9

  • qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

Nel caso in cui il titolare del trattamento sia già bersaglio da parte dell’autorità di controllo in quanto sotto esame per una precedente violazione, i contatti avvenuti in precedenza verranno presi in considerazione.

Sanzioni: criterio 10

  • l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;

Per definizione (art. 57, par. 1, lett. a), l’autorità di controllo:

sorveglia e assicura l’applicazione del […] regolamento”.

L’adesione ad un codice di condotta approvato, in caso di violazione, offre indicazioni riguardo l’eventualità di irrogazione di una sanzione amministrativa pecuniaria. All’interno di questi codici di condotta approvati ci sono:

i meccanismi che consentono all’organismo (di controllo) di effettuare il controllo obbligatorio del rispetto delle norme del codice”.

In caso di adesione ad un codice di condotta approvato, l’autorità di controllo ha la facoltà di ritenere adeguato il fatto che la comunità che gestisce il codice effettui un intervento diretto nei confronti del membro che ha effettuato la violazione. Nel caso questi provvedimenti siano ritenuti, dall’autorità di controllo, effettivi, proporzionati e dissuasivi allora è possibile che l’autorità stessa non imponga misura aggiuntive.

Sanzioni: criterio 11

  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Sanzioni: conclusioni

Come estrema sintesi finale, si può affermare che: il compito delle autorità di controllo è quello di ristabilire la conformità attraverso ogni misura correttiva adeguata che è a disposizione. Dovranno inoltre stabilire il canale adeguato per implementare tali misure. Necessaria, al fine di massimizzare la coerenza, è la cooperazione tra le autorità di controllo.

Swascan e la GDPR Compliance

Swascan, per evitare sanzioni, ha reso disponibili specifici servizi di cybersecurity al fine di aiutare le imprese ad affrontare le tematiche relative alla Compliance GDPR e al Security Management. Inoltre, è disponibile il Plugin GDPR Swascan per la Compliance dei siti WordPress e Woocommerce.

Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).

Inizia il tuo Free trial!

in collaboration with
CISCO

Swascan

In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability AssessmentNetwork Scan, Code Review e il GDPR Assessment infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.