Una delle maggiori novità introdotte dal nuovo Regolamento Europeo sulla privacy riguarda il considerevole aumento degli importi delle sanzioni amministrative, previste per i Titolari o Responsabili del trattamento di dati personali che non si adegueranno correttamente alla normativa, violandone le disposizioni.
Sanzioni Violazione Privacy: Quanto Costa NON Adeguarsi al Nuovo Regolamento?
L’ammontare della sanzione può arrivare fino ai 20 milioni di euro, oppure, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente. Tale provvedimento riguarderà i casi più gravi, ossia i casi di violazione ad esempio in materia di:
- Principi base del trattamento;
- Condizioni per il consenso;
- Diritti degli interessati;
- Trasferimento di dati personali all’estero.
Saranno invece oggetto di sanzioni fino ai 10 milioni di euro, oppure, per le imprese, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, le violazioni riguardanti ad esempio:
- La privacy by design e by default;
- La cooperazione e la consultazione preventiva dell’autorità di vigilanza;
- La notificazione dei data breach all’autorità e agli interessati;
- La designazione e il ruolo del DPO;
- I processi di certificazione.
Le sanzioni penali rimarranno invece di competenza di ogni singolo Stato.
Vediamo quindi quali sono le principali disposizioni che le pubbliche amministrazioni, le imprese e i professionisti devono rispettare, per evitare di incorrere in queste pesanti conseguenze.
Il testo del Regolamento europeo impone innanzitutto un atteggiamento proattivo e preventivo nei confronti della protezione dei dati personali: fin dalla progettazione di nuove procedure, prodotti o servizi, enti e imprese devono tenere in considerazione i principi della privacy, non più quindi limitandosi a dei meri adempimenti burocratici (come una firma per il consenso al trattamento dei dati sanitari).
La nuova normativa introduce anche:
- L’obbligo di effettuare una valutazione dell’impatto (privacy impact assessment) dei trattamenti dei dati, quando presentino un elevato rischio per i diritti e la libertà delle persone, in particolare quando prevedano l’impiego delle nuove tecnologie;
- Il principio di accountability o obbligo di rendicontazione, per cui è necessario dimostrare di aver adottato adeguate misure di sicurezza (tecniche e organizzative) per la protezione dei dati, di condurre una costante attività di aggiornamento di tali misure e, ovviamente, di rispettare le disposizioni del Regolamento;
- L’obbligo, da parte del Titolare o del Responsabile, di mantenere un registro (anche in formato elettronico) delle attività di trattamento e delle relative misure di sicurezza adottate, che su richiesta deve essere messo a disposizione dell’Autorità di controllo;
- L’introduzione della figura del Data Protection Officer (Responsabile della protezione dei dati), che, ad esempio, le pubbliche amministrazioni hanno l’obbligo di nominare al proprio interno; può trattarsi di un collaboratore o di un consulente esterno, con il compito di sorvegliare la corretta applicazione del regolamento, cooperare con l’Autorità Garante e rispondere agli interessati sulle questioni relative al trattamento dei loro dati.