Sanzioni GDPR
Le sanzioni amministrative pecuniarie previste dal GDPR, fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi.
Definizione
Il GDPR prevede due livelli di sanzioni amministrative: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per violazioni di minore gravità (es. mancato registro dei trattamenti, assenza di DPA), e fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi (es. violazione dei principi fondamentali, trattamento senza base giuridica, violazione dei diritti degli interessati). Si applica il maggiore tra i due importi.
Riferimenti normativi
GDPR, art. 83
«Le autorità di controllo garantiscono che le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo per le violazioni del presente regolamento siano in ogni singolo caso effettive, proporzionate e dissuasive.»
Implicazioni pratiche
Criteri di commisurazione
Natura, gravità e durata della violazione; dolo o colpa; misure adottate per attenuare il danno; grado di cooperazione con l'autorità; precedenti violazioni; categorie di dati coinvolti.
Le violazioni più sanzionate in Italia
Trattamento senza informativa adeguata, telemarketing senza consenso valido, videosorveglianza non conforme, assenza di misure di sicurezza adeguate, data breach non notificato.
Domande frequenti
Le sanzioni GDPR si applicano anche alle associazioni no profit?
Sì. Le sanzioni si applicano a qualsiasi organizzazione che tratti dati personali, indipendentemente dal fine di lucro. Il Garante ha sanzionato anche associazioni, fondazioni e partiti politici.
Una piccola impresa può ricevere una sanzione di milioni di euro?
Le sanzioni sono proporzionate al fatturato. Il Garante italiano, nella prassi, commisura le sanzioni alla dimensione dell'organizzazione, ma anche importi relativamente modesti possono essere significativi per una PMI.