Sono state introdotte pesanti sanzioni amministrative pecuniarie, in ipotesi di non conformità alle disposizioni previste dal nuovo regolamento GDPR.
L’apparato introdotto dal nuovo sistema sanzionatorio si limita a suddividere le violazioni in due gruppi, sostanzialmente coincidenti con illeciti più o meno gravi.
Con riferimento a tali gruppi, viene individuato esclusivamente il tetto sanzionatorio massimo rispettivamente:
– fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni più lievi.
– fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per le infrazioni più gravi, come la violazione delle norme concernenti i principi di base del trattamento.
Rischio di incertezza
Così come impostato, il sistema introdotto dal regolamento risentirà moltissimo dell’applicazione che ciascuna autorità di controllo, l’organo del Paese membro chiamato a svolgere le ispezioni e a intimare le relative sanzioni, farà delle norme rilevanti.
I parametri
Ciò posto, per ridurre al minimo, l’incertezza generata dal nuovo sistema, sarà fondamentale tenere presente gli elementi che ciascuna autorità di controllo dovrà considerare al momento di decidere se infliggere una sanzione amministrativa e in che misura. In primo luogo l’autorità dovrà valutare fattori come la natura e la gravità della violazione, il tipo di dati interessati, il numero dei soggetti lesi, nonché l’entità del danno dagli stessi subiti: esisterà un legame tra il danno subito dai singoli e la misura della sanzione. In secondo luogo sarà necessario valutare l’elemento psicologico della condotta, il grado di responsabilità del titolare o del responsabile e le eventuali misure poste in essere per attenuare il danno causato. Infine saranno valutati anche elementi quali la recidiva, il grado di cooperazione con l’autorità di controllo e la maniera in cui quest’ultima ha scoperto la violazione.
GDPR sanzioni penali
Sebbene il GDPR si occupi principalmente di violazioni amministrative, le sanzioni penali sono comunque considerate come uno strumento di ulteriore attuazione e tutela della nuova disciplina.
Spetterà agli Stati membri prevedere tali sanzioni nel rispetto del principio in forza del quale un soggetto non può essere processato e sanzionato per lo stesso reato più di una volta.