Gdpr, il sistema sanzionatorio

gdpr il nuovo sistema sanzionatorio

Uno dei punti salienti introdotto dal Regolamento UE 679/2016 è quello delle sanzioni. Risulta ovvio come il sistema sanzionatorio introdotto da una qualunque normativa sia la forza motrice che spinge ad applicarla, e sotto quest’aspetto, il GDPR non ci è andato leggero.

Il Regolamento prevede all’art. 83, a carico di coloro che non osservano un ordine da parte dell’autorità di controllo, una sanzione amministrativa pecuniaria che può arrivare fino a 20.000.000 di euro o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

La volontà dell’UE è stata quella di armonizzare sotto il profilo amministrativo, il sistema sanzionatorio applicabile, che deve osservare criteri di effettività, proporzionalità e dissuasività, mentre rimette alla competenza dei singoli Stati Membri il compito di disciplinare le sanzioni a carattere penale, come disposto dall’art. 84.

La domanda che sorge ora è: quando è possibile che vengano comminate tali sanzioni?

il nuovo gdpr regolamento europeo

L’art. 83 in primis sostiene che le situazioni vanno analizzate caso per caso, ma che, prima di infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si deve tener conto dell’insorgere di determinati elementi.

Anzitutto va valutata la natura della violazione, nonché la sua gravità e la durata della stessa, sempre tenendo conto delle finalità del trattamento operato dall’ente ed in proporzione al numero degli interessati lesi e dal livello del danno subito.

Altro elemento che sarà analizzato e valutato è quello soggettivo, ossia il carattere doloso o colposo della violazione, ed in fine, le eventuali misure adottate dal titolare del trattamento o dal responsabile del trattamento per attutire il danno subito dagli interessati.

Un fattore aggravante sarà l’eventuale recidiva da parte del titolare del trattamento o del responsabile, che sarà causa di una comminazione di pena ben più elevata, essendo presenti precedenti violazioni pertinenti commesse.

A seguito di svariate interpretazione da parte degli esperti in materia, è emersa un’attenuante notevole a carico degli Enti, ossia la possibilità di incorrere in una mera diffida amministrativa qualora la violazione sia classificata come mero caso irrisorio e non abbia dato origine a rischi significativi per gli interessati.

Alla luce di quanto analizzato in precedenza è possibile osservare come il Parlamento Europeo abbia rimesso all’autorità di controllo il compito di analizzare i casi sottopostigli, fornendo linee a carattere estremamente generale, offrendo da un lato la possibilità di adeguare le sanzioni e le disposizione contenute nel GDPR al singolo caso, ma generando al contempo il rischio di sfociare in un eccessivo arbitrio e in possibili iniquità applicative.

Avvocato Amanda Capasso

//]]>