Sanzioni e diritto al risarcimento
Sanzioni
L’efficacia di una qualsiasi legge è dimostrata anche dal regime sanzionatorio da essa previsto. La normativa che governa la protezione dei dati personali non è eccezione a questa regola e dedica, perciò, una parte importante alle sanzioni in cui si può incorrere per inosservanze. I soggetti che possono essere sanzionati sono tutti quelli che, a vario titolo, concorrono al trattamento di dati personali e che hanno, direttamente o indirettamente, dolosamente o colpevolmente, infranto le prescrizioni in materia.
Il GDPR prescrive che le sanzioni pecuniarie inflitte dalle autorità di controllo siano comunque «effettive, proporzionate e dissuasive», variando da singolo caso. La sanzione deve essere inflitta tenendo conto di:
1. la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento e il numero di interessati lesi dal danno e il livello del danno che hanno subito
2. il carattere doloso o colposo della violazione
3. le misure adottate dal titolare o dal responsabile per attenuare il danno subito dagli interessati
4. il grado di responsabilità del titolare o del responsabile tenendo conto delle misure tecniche e organizzative da essi messe in atto
5. eventuali precedenti violazioni pertinenti commesse
6. il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
7. le categorie di dati personali oggetto di violazione
8. la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare o il responsabile ha notificato la violazione
9. qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare o del responsabile del relativamente allo stesso oggetto, il rispetto di tali provvedimenti
10. l’adesione ai codici di condotta o ai meccanismi di certificazione
11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Le sanzioni potrebbero interessare anche più violazioni contemporaneamente: in questo caso, è inflitta la sanzione per la violazione più grave.
Le sanzioni possono ammontare, nella maggior parte dei casi delle violazioni dei più rilevanti obblighi, fino a un massimo di € 10 000 000 o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Per violazioni che concernono i principi sulla base giuridica del trattamento, comprese le condizioni relative al consenso, i diritti degli interessati; i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali e qualsiasi obbligo ai sensi delle legislazioni degli Stati membri la sanzione massima comminabile ammonta a € 20 000 000 o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
È importante sottolineare che il GDPR, nello stabilire le sanzioni in termini di percentuali di fatturato, espressamente cita il termine «imprese». Nel caso di organizzazioni no-profit, in quanto entità senza scopo di lucro, la sanzione pecuniaria che si spinge sino al 2% o al 4%, a seconda della violazione, del fatturato mondiale totale annuo dell’esercizio precedente, se superiore all’ammontare massimo previsto dal GDPR, non è applicabile. Lo è soltanto a condizione che l’organizzazione «non eserciti regolarmente un’attività economica» a latere della missione benefica che è il proprio oggetto statutario prevalente. L’autorità di controllo adotterà altri criteri per stabilire la sanzione pecuniaria.
Inoltre, ogni Stato membro è libero di applicare altre sanzioni che non siano previste dal GDPR, anche diverse da quelle amministrative pecuniarie, per altre violazioni, ne deve vigilare l’applicazione e anch’esse devono essere stabilite in maniera tale da essere «effettive, proporzionate e dissuasive».
Diritto al risarcimento
È rilevante anche la previsione del GDPR di garantire all’interessato che ha subito la violazione il diritto al risarcimento del danno subito, stabilendo anche le responsabilità delle entità coinvolte.
Se l’interessato subisce un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile: chiaramente, il titolare ne risponderà rispetto al suo illecito trattamento e il responsabile risponde per il danno causato dall’illecito trattamento se non ha adempiuto agli obblighi del GDPR specifici per i responsabili oppure se ha operato difformemente oppure contrariamente alle istruzioni impartite dal titolare. Entrambi saranno esonerati dalla responsabilità se sono in grado di dimostrare che l’evento che ha cagionato il danno non è in alcun modo imputabile a quanto di propria pertinenza.
Se il trattamento illecito è stato eseguito da più titolari o da più responsabili oppure dal titolare e dal responsabile, ogni titolare o responsabile sarà responsabile in solido per l’intero ammontare del danno, così da garantire il risarcimento effettivo dell’interessato danneggiato. Se il risarcimento è stato integralmente pagato da un titolare o da un responsabile, questo titolare o responsabile ha il diritto di reclamare dagli altri titolari o responsabili coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità.
La richiesta di risarcimento deve essere avanzata dinanzi le autorità giurisdizionali competenti.
Per approfondire, consulta le FAQ oppure contattatami.