• Privacy Solution

Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere



Come è noto l’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679 anche indicato con l’acronimo GDPR).Tale regolamento in realtà è il più importante tassello di una riforma europea complessiva della materia che riguarda altre direttive europee e trattati internazionali (per esempio, la direttiva UE 2016/680, la revisione del Reg. UE 2001/45 e della Convenzione internazionale del 28 gennaio 1981, n. 108). Da non dimenticare che l’attuazione del GDPR ha già comportato la recente approvazione di due leggi come la legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017) e la legge 167/2017 (in vigore dal 12 dicembre 2017) che contiene tra le altre disposizioni anche l’aggiornamento della disciplina relativa all’art. 29 del Codice della Privacy con specificazione degli elementi essenziali della nomina del responsabile del trattamento dei dati personali.In tale contesto, ci si chiede di continuo quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018.

Le sanzioni amministrative GDPR

Appare appena il caso di ricordare come tra le sanzioni amministrative più ricorrenti nel corso degli ultimi anni in materia vi sono certamente le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere, l’omessa o inidonea informativa comporta infatti una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.Inoltre, vi sono altre violazioni amministrative previste dal Codice della Privacy, oltre all’omessa o incompleta notificazione, un articolo che merita particolare attenzione per la sua importanza sul lato operativo e applicativo soprattutto relativamente alle attività di vigilanza da parte del Garante, della Guardia di Finanza e degli pubblici ufficiali che riscontrano le predette violazioni, è l’art. 162 del Codice. L’articolo punisce varie fattispecie dalla cessione dei dati personali tra titolari autonomi del trattamento alla comunicazione dei dati sanitari all’interessato in violazione dell’art. 84 del Codice.In tale contesto, di particolare rilevanza operativa appare il comma 2 bis dell’art. 162 del Codice, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.Per quanto attiene alla fattispecie di violazione amministrativa relativa al trattamento illecito dei dati preme mettere in evidenza che l’art. 167 C.d.P. effettua una serie di rinvii ad altre disposizioni, può costituire infatti trattamento illecito dei dati l’omesso consenso informativo (p.e. consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi) oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.

Le sanzioni penali GDPR

L’attuale testo del decreto GDPR, in via di approvazione, prevede anche alcune sanzioni penali per il GDPR, non previste dalla normativa europea. Ecco il quadro delle fattispecie di reato che avremo dopo l’approvazione del decreto GDPR.



Articolo da https://www.agendadigitale.eu


1 visualizzazione