Mostra tutti

GDPR – Le sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679

GDPR – Analizziamo le sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679

L’UE ha attuato una riforma globale della normativa sulla protezione dei dati in Europa. La riforma si basa su diversi pilastri (componenti fondamentali): norme coerenti, procedure semplificate, azioni coordinate, coinvolgimento degli utenti, informazioni più efficaci e rafforzamento dei poteri destinati a far rispettare le norme.

I titolari del trattamento e i responsabili del trattamento  hanno maggiori responsabilità nel garantire l’efficace tutela dei dati personali delle persone fisiche. Le autorità di controllo sono dotate di poteri per garantire che i principi del regolamento generale sulla protezione dei dati (di seguito “il regolamento”) e i diritti delle persone interessate siano rispettati conformemente all’enunciato e alla ratio del regolamento.

L’applicazione coerente delle  norme  sulla  protezione dei  dati  è  fondamentale per  un  regime di protezione dei dati armonizzato. Le sanzioni amministrative pecuniarie rappresentano un elemento centrale del nuovo regime introdotto dal GDPR per far rispettare le norme, in quanto costituiscono un componente importante dell’insieme di strumenti di applicazione a disposizione delle autorità di controllo, congiuntamente alle altre misure previste dall’articolo 58.

Il documento (WP 253 Linee guida sanzioni amministrative pecuniarie Reg UE 2016 679)  è destinato a essere utilizzato dalle autorità di controllo per garantire una migliore applicazione e attuazione del regolamento ed espone l’interpretazione comune delle disposizioni di cui all’articolo 83 del regolamento nonché l’interazione di detto articolo con gli articoli 58 e 70 e i relativi considerando.

In particolare, ai sensi dell’articolo 70, paragrafo 1, lettera e), il comitato europeo per la protezione dei dati ha la facoltà di pubblicare linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente del regolamento, e l’articolo 70, paragrafo 1, lettera k), specifica che è prevista l’elaborazione di linee guida riguardanti la previsione di sanzioni amministrative pecuniarie. 

Al fine di adottare un approccio coerente all’imposizione di sanzioni amministrative pecuniarie, che rispecchi  adeguatamente  tutti  i  principi  delle  presenti  linee  guida,  il  comitato  europeo  per  la protezione dei dati ha raggiunto un’intesa comune sui criteri di valutazione di cui all’articolo 83, paragrafo 2, del regolamento e, pertanto, il comitato e le singole autorità di controllo concordano sull’impiego delle presenti linee guida come approccio comune.

Una volta accertata la violazione del regolamento GDPR dopo aver valutato i fatti del caso, l’autorità di controllo competente deve individuare la o le misure correttive più appropriate per affrontare tale violazione. Le disposizioni di cui all’articolo 58, paragrafo 2, lettere da b) a j) 2, indicano gli strumenti che le autorità di controllo hanno a disposizione per far fronte a un’inadempienza da parte di un titolare del trattamento o responsabile del trattamento. Nel ricorrere a tali poteri, le autorità di controllo devono osservare i seguenti principi:

La violazione del regolamento dovrebbe comportare l’imposizione di “sanzioni equivalenti”. 

Il concetto di “equivalenza” è fondamentale nel determinare la portata degli obblighi delle autorità di controllo di garantire coerenza nel ricorso ai poteri correttivi di cui all’articolo 58, paragrafo 2, in generale e nell’applicazione delle sanzioni amministrative in particolare3.

Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dovrebbe essere equivalente in tutti gli Stati membri (considerando 10). Il considerando 11 spiega che per garantire un livello equivalente di protezione dei dati personali in tutta l’Unione occorrono, tra l’altro, “poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri”. Inoltre, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri sono considerate un modo per “prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno”, in linea con il considerando 13 del regolamento.

Il GDPR offre una base più solida rispetto alla direttiva 95/46/CE ai fini di una maggiore coerenza, in  quanto esso è  direttamente applicabile negli Stati  membri. Anche se  le  autorità di controllo agiscono in “piena indipendenza” (articolo 52) nei confronti dei governi nazionali, dei titolari del trattamento o dei responsabili del trattamento, esse devono collaborare “al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento” (articolo 57, paragrafo 1, lettera g)).

Il regolamento esorta a una maggiore coerenza rispetto alla direttiva 95/46/CE nell’imposizione delle sanzioni. Nei casi transfrontalieri, la coerenza deve essere garantita principalmente mediante il meccanismo di cooperazione (sportello unico) e in una certa misura tramite il meccanismo di coerenza introdotto dal nuovo regolamento.

Nei casi nazionali previsti dal regolamento, le autorità di controllo applicheranno le presenti linee guida nello spirito di collaborazione ai sensi dell’articolo 57, paragrafo 1, lettera g), e dell’articolo 63, al  fine  di  garantire  la  coerenza  dell’applicazione e  dell’attuazione  del  regolamento.  Sebbene continuino a essere indipendenti nello scegliere le misure correttive di cui all’articolo 58, paragrafo 2, le autorità di controllo dovrebbero evitare di scegliere misure correttive differenti in casi analoghi.

Come tutte le misure correttive scelte dalle autorità di controllo, le sanzioni amministrative pecuniarie dovrebbero essere “effettive, proporzionate e dissuasive”.

Come tutte le misure correttive in generale, le sanzioni amministrative pecuniarie dovrebbero rispondere adeguatamente alla natura, alla gravità e alle conseguenze della violazione, e le autorità di controllo devono valutare tutte le circostanze del caso in maniera coerente e oggettivamente giustificata. La valutazione di quanto sia effettivo, proporzionato e dissuasivo in ciascun caso dovrà anche riflettere l’obiettivo perseguito dalla misura correttiva prescelta, che è quello di ripristinare la conformità alle norme oppure di punire un comportamento illecito (o entrambi).

Le autorità di controllo dovrebbero individuare misure correttive che siano “effettive, proporzionate e dissuasive” (articolo 83, paragrafo 1), sia nei casi nazionali (articolo 55) che nei casi che comportano il trattamento transfrontaliero dei dati (secondo la definizione di cui all’articolo 4, punto 23).

Le presenti linee guida riconoscono che la legislazione nazionale può stabilire requisiti aggiuntivi per la procedura che le autorità di controllo devono seguire per far rispettare le norme. Essi possono consistere ad esempio in notifiche di indirizzo, moduli, termini per presentare osservazioni, appello, esecuzione, pagamento4. Tali requisiti non dovrebbero tuttavia ostacolare in pratica il conseguimento degli obiettivi di efficacia, proporzionalità e dissuasività. Una determinazione più precisa dell’efficacia, della proporzionalità e della dissuasività scaturirà dalla pratica che emergerà in seno alle autorità di controllo (in materia di protezione dei dati e grazie alle esperienze acquisite in altri settori normativi) e dalla giurisprudenza relativa all’interpretazione di tali principi.

Al fine di irrogare sanzioni amministrative che siano effettive, proporzionate e dissuasive, l’autorità di controllo deve rifarsi alla definizione della nozione di impresa fornita dalla Corte di giustizia dell’Unione europea (CGUE) ai fini dell’applicazione degli articoli 101 e 102 TFUE, secondo cui il concetto di impresa va inteso come un’unità economica che può essere composta dall’impresa madre e da tutte le filiali coinvolte. Conformemente al diritto e alla giurisprudenza dell’UE5, un’impresa deve essere intesa quale unità economica che intraprende attività economiche/commerciali, a prescindere dalla persona giuridica implicata (considerando 150).

L’autorità di controllo competente effettuerà una valutazione “in ogni singolo caso”.

È possibile imporre sanzioni amministrative pecuniarie in risposta a una vasta serie di violazioni. L’articolo 83 del regolamento prevede un approccio armonizzato nei confronti delle violazioni di obblighi espressamente elencate nei paragrafi da 4 a 6. Il diritto di uno Stato membro può estendere l’applicazione dell’articolo 83 alle autorità e agli organismi pubblici istituiti in tale Stato membro. Inoltre, il diritto di uno Stato membro può consentire o addirittura imporre l’irrogazione di una sanzione pecuniaria in caso di violazione di disposizioni diverse da quelle citate all’articolo 83, paragrafi da 4 a 6.

Il  regolamento  stabilisce  che  ogni  caso  sia  valutato  singolarmente. L’articolo  83,  paragrafo  2, rappresenta il punto di partenza di tale valutazione individuale. Esso prevede che “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi…”. Di conseguenza, e alla luce del considerando  1487,  l’autorità  di  controllo  ha  la  responsabilità  di  scegliere  la  o  le  misure  più appropriate. Nei casi citati all’articolo 83, paragrafi da 4 a 6, tale scelta deve tenere conto di tutte le misure correttive, tra cui l’imposizione della sanzione amministrativa pecuniaria appropriata, sia che essa  sia  associata a  una  misura correttiva ai  sensi dell’articolo 58,  paragrafo 2,  oppure che sia autonoma. Le sanzioni pecuniarie rappresentano un importante strumento che le autorità di controllo dovrebbero utilizzare nelle opportune circostanze. Le autorità di controllo sono incoraggiate a ricorrere alle misure correttive con un approccio ponderato ed equilibrato, al fine di reagire in maniera effettiva, dissuasiva e proporzionata alla violazione. Il punto non è qualificare le sanzioni pecuniarie come misure di ultima istanza, né evitare di irrogarle, bensì utilizzarle in un modo che non ne riduca l’efficacia come strumento.

Criteri di valutazione di cui all’articolo 83, paragrafo 2

L’articolo 83, paragrafo 2, contiene un elenco di criteri che le autorità di controllo devono usare per valutare sia l’opportunità di irrogare una sanzione amministrativa che l’importo della sanzione. Ciò non significa che occorre ripetere la valutazione usando gli stessi criteri, bensì che si deve procedere a una  valutazione  che  tenga  conto  di  tutte  le  circostanze  di  ogni  singolo  caso,  conformemente all’articolo 838.

Le conclusioni raggiunte nella prima fase della valutazione possono essere impiegate nella seconda parte relativa all’importo della sanzione, evitando così di dover eseguire la valutazione utilizzando gli stessi criteri due volte.

  • la natura, la gravità e la durata della violazione
  • il carattere doloso o colposo della violazione
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione

GDPR – Conclusioni riguardanti le sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679

Le  riflessioni sugli  aspetti esposti  nella  sezione precedente aiuteranno le  autorità  di  controllo a individuare, tra i fatti pertinenti del caso, i criteri più utili per valutare se sia necessario imporre una sanzione amministrativa pecuniaria appropriata in aggiunta o in  sostituzione delle  misure di  cui all’articolo 58. Tenendo conto del contesto fornito dalla valutazione, l’autorità di controllo individuerà la misura correttiva più effettiva, proporzionata e dissuasiva per far fronte alla violazione.

L’articolo 58 fornisce alcuni orientamenti sulle misure tra cui un’autorità di controllo può scegliere, in quanto le misure correttive di per sé hanno natura diversa e sono destinate principalmente a finalità diverse. Alcune misure di cui all’articolo 58 possono anche essere cumulate, dando così luogo a un intervento che prevede più di una misura correttiva.

Non è sempre necessario integrare la misura con un’altra misura correttiva. Ad esempio, tenuto debito conto di cosa è proporzionato al caso specifico, l’efficacia e la dissuasività dell’intervento dell’autorità di controllo potrebbero essere garantite attraverso la sola sanzione pecuniaria.

In sintesi, le autorità devono ripristinare la conformità tramite tutte le misure correttive che hanno a disposizione. Le autorità di controllo dovranno altresì scegliere il canale più appropriato per portare avanti l’intervento (potendo ricorrere, ad esempio, a sanzioni penali – ove disponibili a livello nazionale).

La  pratica  di  applicare  sanzioni amministrative pecuniarie  coerentemente all’interno  dell’Unione europea è una pratica in via di evoluzione. Le autorità di controllo dovrebbero collaborare costantemente per aumentare tale coerenza, ad esempio tramite regolari scambi durante seminari sul trattamento  dei  casi  o  altri  eventi  che  consentano di  confrontare i  casi  a  livello  sub-nazionale, nazionale  e  transfrontaliero.  Al  fine  di  sostenere  questa  attività  continuativa  si  raccomanda  la creazione di un sottogruppo permanente annesso a una parte pertinente del comitato europeo per la protezione dei dati.

Fonte: WP 253 Linee guida sanzioni amministrative pecuniarie Reg UE 2016 679

Risultati ricorrenti: tabella sanzioni gdpr, sanzioni regolamento europeo privacy, art 83 gdpr. articolo 83 gdpr, sanzioni privacy 2018. gdpr penale, gdpr chi è obbligato, sanzioni regolamento 679, sanzioni gdpr 2018, gdpr sanzioni penali,  sanzioni amministrative gdpr, sanzioni gdpr 4% fatturato, sanzioni privacy 2018, sanzioni regolamento europeo privacy

libro vita da hacker

Ti potrebbero interessare

5 Febbraio 2024

EU AI ACT: la nuova normativa Europea sull’Intelligenza Artificiale

Continua
29 Gennaio 2024

Essere un imprenditore digitale nel 2024: strategie e sfide

Continua
5 Gennaio 2024

La nuova Politica dei Cookie di Google del 2024

Continua
5 Gennaio 2024

Tesla Optimus Gen 2: un nuovo capitolo nell’Innovazione dei robot umanoidi

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
8 Giugno 2020

Content Marketing – Come creare contenuti ed essere originali online

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
4 Giugno 2019

Video Marketing come sono nati i video musicali dei brand

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua