L’entrata in vigore del Regolamento Europeo sulla protezione dei dati, meglio noto con l’acronimo GDPR, ha segnato un punto di svolta, a partire dal maggio 2018, nel trattamento e nella libera circolazione dei dati personali rispetto alla normativa precedente (d.lgs. 196/2003), imponendo alle aziende e ai professionisti di adeguarsi alle nuove disposizioni in esso contenute.
Posto a tutela e protezione dei dati delle persone fisiche, il regolamento ha introdotto una serie di obblighi per imprese e professionisti, stabilendo regole più chiare su informativa e consenso, definendo i limiti di trattamento automatizzato dei dati, nonché fissando norme rigorose per i casi di violazione dei dati (data breach).
A rappresentare la principale novità apportata dal GDPR è senz’altro l’introduzione del regime sanzionatorio: sono infatti previste, a integrazione delle sanzioni penali già contenute nel Codice della Privacy, sanzioni amministrative pecuniarie che, ai sensi degli artt. 83 e 84 GDPR, potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo, in base alla tipologia della violazione commessa dal trasgressore.
È interessante sottolineare, preliminarmente, il cambio di rotta rispetto alla normativa precedente: l’Autorità Garante per la protezione dei dati personali valuterà le violazioni commesse non già a posteriori, bensì ex ante, avuto riguardo alle misure prevenite adottate a tutela dei cittadini dal titolare del trattamento dei dati.
Il nuovo regolamento Ue prevede, ex art. 83, sanzioni amministrative fino a:
- 10 milioni di euro o 2% del fatturato annuo dell’esercizio precedente qualora il titolare del trattamento dei dati, in via esemplificativa, abbia violato le condizioni sul consenso dei minori, abbia trattato in modo illecito i dati personali degli utenti, oppure non abbia comunicato il data breach all’Autorità garante;
- 20 milioni di euro o 4% del fatturato annuo dell’esercizio precedente nel caso in cui il titolare del trattamento dei dati, sempre in via esemplificativa, abbia violato i principi base del trattamento, abbia trasferito illecitamente i dati personali ad altri Paesi o non abbia osservato un ordine imposto dal Garante.
Si tenga presente che il Regolamento Europeo indica soltanto il valore massimo delle sanzioni pecuniarie rimettendo all’Autorità Garante la determinazione circa le misure da applicare in concreto, tenuto conto dei seguenti criteri: gravità, natura e durata della violazione, numero dei soggetti lesi dal danno, carattere doloso o colposo della violazione.
Ulteriori misure sanzionatorie e il ruolo del Garante
Accanto alle sanzioni amministrative pecuniarie sono previste altresì misure ulteriori messe a disposizione del Garante per contrastare le violazioni della normativa che, ai sensi dell’art. 84 del GDPR, sono stabilite dagli Stati membri e possono consistere in: ammonimento, blocco o divieto di effettuare determinati trattamenti lesivi dei diritti degli interessati, limitazioni relative ai dati oggetto di trattamento.
Anche le sanzioni penali per la tutela della privacy sono disciplinate dalle norme di ciascun Stato, e, nel caso dell’Italia, dal Codice della Privacy del 2003, il quale prevede la reclusione fino a 6 anni in caso di trattamento illecito dei dati, comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.
L’attività ispettiva del Garante è svolta dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza che, attraverso la richiesta di informazioni e l’acquisizione di documenti, verifica la liceità dei trattamenti, le condizioni con cui viene raccolto il consenso, le modalità di comunicazione dell’informativa sul trattamento dei dati e i termini di conservazione degli stessi.
È evidente quindi l’estrema importanza di comprendere sia gli obblighi gravanti sulle aziende e sui professionisti, sia i rischi derivanti dal trattamento dei dati personali, così da non trovarsi impreparati nel caso di eventuali ispezioni del Garante.
Cosa devono fare le imprese e i professionisti per tutelarsi ed evitare le sanzioni previste dal GDPR?
A giocare un ruolo fondamentale in questo scenario sono le assicurazioni attraverso il lancio di cyberpolizze ad hoc, a copertura dei rischi connessi al rispetto delle norme previste dal GDPR.
Tali polizze possono coprire numerosi aspetti legati al rischio ma non le sanzioni amministrative pecuniarie previste dal regolamento europeo di cui si è parlato sopra: trattandosi di sanzioni amministrative, non è concesso al trasgressore trasferire il peso economico della violazione sulle assicurazioni, giacché si vanificherebbe l’effetto deterrente perseguito dalle multe.
È invece possibile assicurarsi per arginare il danno patrimoniale nell’eventualità in cui l’azienda dovesse risarcire i terzi danneggiati in caso di violazione della normativa GDPR o in caso di violazione dei sistemi di sicurezza della rete.
La stipula di una polizza cyber permette inoltre di ridurre o evitare una possibile sanzione in quanto il Garante vedrebbe di buon occhio il concreto sforzo compiuto dall’azienda di prevenire e tutelare la perdita di dati in caso di violazione involontaria della normativa.