linkedinPx GDPR e D.lgs. 101/2018: il quadro sanzionatorio e la definizione agevolata - Noverim

GDPR e D.lgs. 101/2018: il quadro sanzionatorio e la definizione agevolata

GDPR e D.lgs. 101/2018: il quadro sanzionatorio e la definizione agevolata

GDPR e D.lgs. 101/2018: il quadro sanzionatorio e la definizione agevolata

GDPR e D.lgs. 101/2018: il quadro sanzionatorio e la definizione agevolata.


Dopo la pubblicazione in Gazzetta ufficiale del Decreto 101 del 10 agosto scorso, il 19 settembre sono ufficialmente entrate in vigore le disposizioni attuative del Codice Privacy, che hanno recepito il Regolamento Europeo n. 2016/679 (cosiddetto GDPR) in materia di protezione e trattamento dei dati personali dei cittadini comunitari.
Le aziende o gli Enti che non si fossero ancora adeguati e venissero colti in flagranza di violazione, incorrerebbero nelle sanzioni amministrative previste, e nelle ipotesi peggiori, anche penali.
All’uopo, il Garante Privacy ha recentemente provveduto a dare indicazioni sulle modalità della cosiddetta “definizione agevolata”, ossia la via per poter ottenere una riduzione sulla sanzione.
Vediamo di seguito chi ha il potere sanzionatorio e di controllo, quali sanzioni rischia chi commette violazione della privacy e come aderire alla definizione agevolata per ottenere una riduzione sull’ammontare delle predette sanzioni.
Si precisa sin da subito che non esistono ipotesi di dedizione agevolata per le ingiunzioni successive al 25 Maggio 2018, quale data di entrata in vigore a livello europeo del GDPR.
Diversamente, le imprese o i soggetti lato sensu ai quali si imputino violazioni amministrative del Codice della Privacy già contestate alla data del 25 maggio 2018 (con notifica di atto con cui siano stati notificati gli estremi della violazione o l’atto di contestazione) possono appunto intraprendere due strade: la definizione agevolata o il contenzioso.
Se si sceglie la prima ipotesi, si pagheranno le sanzioni in misura ridotta, pari a due quinti del minimo edittale.
Il pagamento dovrà tuttavia essere effettuato entro e non oltre il 18.12.2018.
Le somme da pagare per la definizione agevolata delle sanzioni (e pari, come si è già accennato sopra, a due quinti del minimo edittale) variano a seconda dalla tipologia di violazione commessa:

  • articolo 161: € 2.400,00;

  • articolo 162, comma 1, Art. 162, comma 2-bis, per le violazioni di cui all’art. 167, Art. 162, comma 2-bis, per le violazioni di cui all’art. 33, Art. 162, comma 2-quater, Art. 162 bis e ter, comma 1, Art. 164: € 4.000,00;

  • articolo 162, comma 2: € 400,00;

  • articolo 162, comma 2-ter: € 12.000,00;

  • articolo 162-ter, comma 2: € 60,00 per ciascun contraente;

  • articolo 162-ter, comma 4, Art. 163: € 8.000,00;

  • articolo 164-bis, comma 2: € 10.000,00;

  • articolo 164-bis, comma 2: € 20.000,00;


Ovviamente, le imprese interessate possono non aderire alla definizione agevolata prevista dall’art. 18 D.Lgs. n. 101/2018, e in tal caso le strade percorribili sono diverse. In primo luogo, si può seguire l’iter disegnato dalla legge n. 689/1981 per arrivare ad un provvedimento finale di archiviazione o di ingiunzione di pagamento, che potrà essere impugnato nella forma della opposizione avanti al Tribunale.
In altri casi l’atto di contestazione/notificazione costituisce titolo esecutivo, da porre a base della riscossione coattiva.
Ma andiamo oltre con l’analisi del quadro sanzionatorio, anche al di là della specifica ipotesi di sopra ovvero di “definizione agevolata” (rispetto alla quale è tuttavia importante procedere con solerzia e nel modo più puntuale, per non perdere il beneficio offerto dal legislatore).
Il GDPR prevede che l’Autorità possa imporre sanzioni amministrative per un importo pecuniario massimo calibrato in base al tipo di violazione commessa; ciò tenendo conto di indici puntuali, quali ad esempio:

  • natura, gravità e durata della violazione;

  • carattere doloso o colposo della stessa;

  • misure adottate dal Titolare del trattamento per attenuare il danno subito dai soggetti interessati;

  • grado di cooperazione con l’autorità di controllo.


Anche sotto un profilo di natura del provvedimento, le sanzioni per chi commette violazioni del Codice della Privacy in danno di qualcuno possono essere di diverso tipo:

  • sanzioni di tipo reputazionale;

  • sanzioni amministrative;

  • sanzioni penali.


Andiamo più nel dettaglio.
Primariamente, abbiamo le sanzioni amministrative fino a 10 milioni di euro (o, nel caso di un’azienda, fino al 2% del fatturato totale annuo mondiale) nelle seguenti ipotesi di violazione del Codice:

  • articolo 8 (consenso dei minori);

  • articolo 10 (trattamenti che non richiedono l’identificazione degli interessati);

  • articolo 23 (privacy by design e privacy by default);

  • articolo 24 (contitolarità del trattamento);

  • articolo 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea);

  • articolo 26 (Responsabili del trattamento);

  • articolo 27 (istruzioni e autorità del Titolare);

  • articolo 28 (documentazione relativa a ciascun trattamento di dati personali);

  • articolo 29 (cooperazione con l’Autorità di vigilanza);

  • articolo 30 (sicurezza del trattamento);

  • articolo 31 (notificazione dei data breach all’Autorità);

  • articolo 32 (comunicazione dei data breach agli interessati);

  • articolo 33 (DPIA – Data Protection Impact Assessment);

  • articolo 34 (consultazione preventiva dell’Autorità di vigilanza);

  • articoli 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer);

  • articolo 39 (compiti del Responsabile della protezione dei dati);

  • articolo 40 (processi di certificazione).


Ulteriormente, abbiamo le sanzioni amministrative fino a 20 milioni di euro (o, in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale) nelle seguenti ipotesi di violazione:

  • principi base del trattamento (articolo 5 e ss.);

  • condizioni per il consenso (articolo 7 e ss.);

  • diritti degli interessati (articolo12 e ss.);

  • trasferimento di dati personali all’estero (articoli 44 e ss.);

  • mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’Autorità di vigilanza (articolo 58).


Infine abbiamo le sanzioni penali.
In questo caso, il D.Lgs. 101/2018 ha riformulato le fattispecie penali previste dal Codice della Privacy, prevedendo alcune fattispecie di evento di danno caratterizzate dal dolo specifico di profitto ovvero di danno ed ha introdotto gli artt. 167 bis e ter nel Codice della Privacy che contemplano la fattispecie di “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” e di “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”.
Ai fini dell’irrogazione della sanzione non si terrà conto esclusivamente del profitto economico del titolare, ma anche dell’effettivo danno d’immagine e reputazionale causato alle vittime.

15 ottobre 2018

numero-verde-mobile