GDPR, imprese a rischio sanzioni. La compliance che conviene

Oltre alle pesanti sanzioni economiche, la mancata conformità al GDPR potrebbe avere un forte impatto sul business delle imprese non solo ingessando l’operatività ma anche creando un danno di reputazione

Dopo due anni dall’entrata in vigore, il 25 maggio 2018 diventerà applicabile il Regolamento Europeo in materia di protezione di dati personali (GDPR), n. 679/2016 che modifica la disciplina della protezione dei dati personali a livello europeo. Tra le novità che vengono introdotte, particolare attenzione deve destare il tema riguardante le sanzioni amministrative che può irrogare il Garante, in caso di violazione di questa nuova normativa, sanzioni che possono pesare sull’impresa in maniera molto significativa. Il GDPR stabilisce due tipologie di sanzioni nelle ipotesi in cui i titolari o i responsabili del trattamento non ottemperino alle regole ivi stabilite. La prima tipologia di sanzioni sono multe, con le quali l’autorità sanziona i trasgressori con importi fino a 20 milioni di euro, che può essere sostituito dal 4% del fatturato mondiale annuo (del gruppo), se superiore alla cifra appena citata. Sono punite con una sanzione che può arrivare a 10 milioni di euro, o se superiore, fino al 2% del fatturato annuo mondiale, le trasgressioni delle disposizioni riguardanti gli obblighi del titolare del trattamento ovvero dell’impresa rispetto a una serie di fattispecie.

[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]

Queste fattispecie possono riguardare la violazione delle nuove regole sul consenso dei minori, i trattamenti che non richiedono l’identificazione dell’interessato, i principi di privacy by design e by default, gli obblighi a cui sono sottoposti i contitolari del trattamento, la nomina di un rappresentante all’interno dell’Unione Europea da parte di un titolare extra-comunitario, il responsabile del trattamento e i soggetti che operano sotto la sua autorità, il registro delle attività, gli obblighi di cooperazione tra titolare del trattamento e autorità di controllo, l’implementazione delle misure di sicurezza, la notifica di una violazione dei dati personali all’autorità di controllo e la comunicazione all’interessato, la valutazione d’impatto sulla protezione dei dati, la consultazione preventiva nei casi in cui il trattamento presenti un rischio elevato per i diritti e le libertà degli interessati e non si possa attenuare attraverso le misure di sicurezza, la nomina, i compiti e i rapporti con il titolare del responsabile della protezione dei dati personali.

La sanzione più elevata, e cioè una sanzione fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato mondiale annuo, è irrogata per le violazioni delle disposizioni in materia dei principi base del trattamento, in particolare circa le condizioni relative al consenso, la liceità del trattamento, i trattamenti relativi a categorie particolari di dati personali, i diritti degli interessati, in particolare riguardo l’informativa, il diritto d’accesso, il diritto di rettifica, il diritto all’oblio, diritto alla portabilità dei dati; dei trasferimenti di dati personali all’estero; o per inosservanza di un ordine, di una limitazione di un trattamento o di un ordine di sospensione dei flussi dei dati dell’autorità di controllo. La seconda tipologia di sanzioni deriva dai poteri correttivi che il GDPR attribuisce ai vari garanti nazionali di limitare o vietare un trattamento nel caso in cui sia in violazione della normativa. Il Garante avrebbe il potere di ordinare la sospensione, la limitazione o il divieto di effettuare un trattamento dei dati nei casi in cui non risulti conforme alla normativa. Per non parlare della possibilità dell’autorità di chiedere all’impresa di comunicare ai soggetti i cui dati sono stati violati che è avvenuta la violazione. È evidente che queste sanzioni potrebbero “ingessare” l’attività di un’impresa e creare anche un danno di reputazione a livello aziendale. È necessario che tutte le imprese comprendano che la mancata conformità al nuovo regolamento europeo potrebbe incidere in maniera significativa sul business.

Leggi anche:  AWS, tutte le novità del re:Invent 2019

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]


Per saperne di più, l’appuntamento è a Omat Forum, il workshop dedicato alle nuove frontiere della gestione delle informazioni digitali: scopri la prossima tappa di Milano e altre città su www.omatforum.it.

Michela Maggi, avvocato in Milano, esperta di tecnologie dell’informazione e comunicazione e dottore di ricerca in Proprietà intellettuale e Diritto della concorrenza.

[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]