Privacy - GDPR

News

Tutela della privacy: Linee guida sull'applicazione e l'interpretazione delle sanzioni amministrative pecuniarie

Il Garante della Privacy ha recentemente pubblicato la versione tradotta in lingua italiana delle Linee Guida sull’applicazione e l’interpretazione delle sanzioni amministrative previste dal Regolamento Europeo 679/2016. Le Linee Guida, redatte dal Gruppo di lavoro ex articolo 29 della Dir. 95/46/CE e principalmente rivolte alle autorità di controllo nazionali, hanno l'obiettivo di assicurare un' applicazione adeguata ed equivalente del General Data Protection Regulation ("GDPR”) sul territorio degli Stati membri. Nella valutazione relativa all’opportunità di irrogare la sanzione e nel determinare l’ammontare della stessa, l’autorità di controllo deve utilizzare i criteri elencati nell’art. 83 comma 2 del Regolamento, considerando la natura, la durata e la gravità della violazione, il numero di interessati coinvolti, la finalità del trattamento e l’eventuale lesione dei diritti degli interessati. Dovranno essere adottate misure correttive che siano adeguate "a ripristinare la conformità alle norme oppure punire un comportamento illecito (o entrambi)". Altri criteri che saranno considerati nella determinazione della sanzione riguardano le modalità attraverso cui l’autorità di controllo viene a conoscenza della violazione, il grado di collaborazione del titolare con l’autorità, eventuali inadempimenti precedenti e le tipologie di dati personali interessati dalla violazione, i benefici finanziari o le perdite evitate quali conseguenza della stessa. Il GDPR stabilisce due diversi massimali per le sanzioni amministrative pecuniarie (10/20 milioni di euro oppure, nel caso delle imprese, il 2/4% del fatturato mondiale annuo dell’anno precedente); tuttavia, l’autorità di controllo competente potrà sempre decidere se, in casi particolari, sia necessario applicare una misura correttiva superiore o inferiore ovvero un semplice ammonimento in caso di "violazioni minori" (Considerando 148). Dovranno essere valutati, altresì, il carattere doloso o colposo delle violazioni nonché le misure tecniche ed organizzative adottate dall'impresa per attenuare il danno subito dagli interessati, nell'ottica del principio di responsabilizzazione del titolare del trattamento. Fonte: CONFINDUSTRIA