Element Logo

Sanzioni GDPR: Chi Rischia e Quanto?

sanzioni gdpr

Perché nell’ambito della nostra attività professionale e d’impresa è fondamentale disciplinare la registrazione, la raccolta e la conservazione dei dati personali?

Innanzitutto è bene sapere che il GDPR (General Data Protection Regulation) è una normativa che comporta l’adeguamento ad essa da parte di tutti e deve essere attuato da:

  • Liberi Professionisti
  • Aziende
  • Enti Pubblici
  • Associazioni

Attualmente non adeguarsi alla normativa GDPR comporta incorrere in aspre sanzioni. 

In proposito l’art. 4. par. 1, n. 7 GDPR spiega che il TITOLARE DEL TRATTAMENTO è colui che materialmente tratta i dati e che di questo trattamento è RESPONSABILE laddove non effettui tale trattamento secondo il regolamento.

Quali sono le condotte sanzionate?

 

Per comprendere come riuscire ad evitare di incorrere in una violazione della normativa GDPR, occorre preliminarmente individuare quali sono concretamente i comportamenti ritenuti contrari alla norma. 

E’ necessario dunque capire quali sono le condotte che, nell’attività lavorativa quotidiana, possono comportare sanzioni. Queste comprendono:

  • trattamento illecito dei dati;
  • comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti dell’esercizio dei poteri del Garante;
  • inosservanza dei provvedimenti del Garante;
  • violazioni in materia di controlli a distanza dei lavoratori;
  • interferenze illecite nella vita privata perpetrate tramite strumenti di ripresa visiva o sonora

Questo elenco è a titolo esemplificativo, ma è significativo. Da un lato risalta come ogni condotta lavorativa può essere svolta in modo illecito e dall’altro lato sottolinea come l’adeguamento alla normativa GDPR sia ormai fondamentale per lo svolgimento di qualsiasi attività.

 

Cosa si rischia in caso di violazioni?

 

Conseguenza diretta della condotte sopra elencate è la previsione di aspre sanzioni sul GDPR, tanto severe penalmente quanto pesanti economicamente per l’impresa. 

La finalità della normativa GDPR e del Codice della Privacy è proprio quella di prevedere sanzioni aventi valore economico molto significativo per il soggetto che incorre nella violazione, tali da fungere quale deterrente efficace.

Le sanzioni concretamente previste sono:

 

SANZIONI PENALI 

  • Si rischia la reclusione da 6 mesi a 3 anni nel caso di trattamento illecito dei dati personali al fine di trarre un profitto o di recare danno a un soggetto terzo;
  • la reclusione da 6 mesi a 3 anni per chi dichiara o attesta il falso, anche attraverso la produzione di documenti falsi che vengono esibiti dinanzi al Garante per la privacy;
  • Si rischia anche la reclusione da 3 mesi a 2 anni per il mancato rispetto dei provvedimenti del Garante della Privacy;
  • l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto le misure di sicurezza per la protezione della privacy.
 

SANZIONI AMMINISTRATIVE

Le sanzioni per la non osservanza del GDPR sono massimo di:

10 milioni di euro o pari al 2% del fatturato dell’anno precedente per le imprese che:

  • non abbiano nominato il DPO;
  • comunicato eventuali data breach;
  • violato le condizioni sul consenso al trattamento dei dati di minori;
  • che abbiano trattato in maniera illecita i dati personali degli utenti;
 

20 milioni di euro o pari al 4% del fatturato dell’anno precedente per le imprese che: 

  • abbiano trasferito illecitamente dati personali in altri Paesi;
  • che non abbiano osservato un ordine imposto dal Garante.
  • risarcimento del danno in favore dell’interessato
  • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.
 

Chi controlla se siamo normativamente ok sul GDPR?

 

La Guardia di Finanza e l’Autorità Garante per la protezione dei dati personali  collaborano costantemente per fare rispettare la normativa GDPR.

I controlli da parte della G.d.F. possano essere svolti anche in via telematica e questo comporta un raggio di azione dei controlli decisamente molto ampio ed a carico di chiunque

 

Cosa verificano gli agenti di controllo?

 

Per comprendere come non incorrere in sanzioni GDPR è opportuno capire su cosa è focalizzata l’attenzione della Guardia di Finanza e dell’Autorità Garante qualora si finisse sotto la loro lente di controllo.

In particolare l’attenzione degli agenti controllanti è rivolta a verificare:

  • Le informative o alle privacy policy, 
  • Il registro dei trattamenti del Titolare, 
  • L’eventuale nomina di un DPO, 
  • La valutazione dei rischi connessi ai trattamenti;
  • La corretta informazione dei dipendenti e dei fornitori circa i trattamenti di dati personali a loro riferiti,
  • Gli adempimenti in fatto di videosorveglianza, ove presente;
  • In generale se tutti trattamenti effettuati sono leciti (marketing, geolocalizzazione e-commerce, ecc..);
  • Le norme a Responsabili esterni
 

Solo per citare alcuni esempi eclatanti di sanzioni comminate:

  • Google di 50 milioni di euro (56,6 milioni di dollari) , 
  • H&M di 35 milioni di euro (41 milioni di dollari) ,
  • TIM di 27,8 milioni di euro (31,5 milioni di dollari) …

Ma il pericolo di incorrere in una sanzione economicamente destabilizzante non è solo per le grandi aziende.

È bene sapere che ultimamente l’attenzione da parte della Guardia di Finanza e del Garante è rivolta al controllo delle strutture sanitarie.

 

In ambito medico chi sono i soggetti che si devono adeguare?

 

In ambito sanitario è fondamentale sapere quali sono i soggetti che nell’esercizio dell’attività lavorativa possono essere ritenuti responsabili per le funzioni svolte.

Nel campo medico le figure prese in considerazione dalla normativa sono:

  • ostetrico;
  • farmacista;
  • medico chirurgo;
  • odontoiatra;
  • ottico optometrista;
  • psicologo;
  • infermiere;
  • infermiere pediatrico;
  • esercente professioni sanitarie riabilitative
  • organismi sanitari pubblici

Inoltre, come spesso accade, le figure professionali menzionate sopra non adempiono personalmente ad ogni aspetto della propria attività lavorativa. Spesso si avvalgono dell’aiuto di dipendenti e collaboratori per i quali potrebbe essere ritenuto responsabile lo stesso titolare.

Infatti, ai sensi dell’art. 4, il responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Ciò significa che la figura di ‘responsabile’ deve necessariamente essere individuata.

 

Facciamo alcuni esempi

 

Ecco solo alcuni esempi che rendono l’idea sul perché adeguarsi alla normativa GDPR 

 

Esempio 1:  Asl Emiliana 

Nonostante l’esplicito divieto di una paziente alla diffusione dei dati sulla propria salute ai familiari, per errore è stato avvisato un parente. Il Garante nel caso di specie ha multato per € 50.000 la struttura che si è successivamente impegnata ad informatizzare la procedura.

Esempio 2: Medico di famiglia

Un Medico di famiglia è stato multato a titolo di sanzione amministrativa
pecuniaria per 10.000 euro (diecimila). 
In particolare il professionista aveva adottato le misure minime previste dalla
norma in materia di protezione dei dati personali, ossia non disponendo di
adeguate misure per prevenire la distruzione dei dati, l’accesso non autorizzato
agli stessi da parte di terzi, il trattamento non consentito.
Inoltre proprio in materia di trattamento del dato personale del paziente con
strumenti elettronici, molteplici sono le prescrizioni alle quali fa riferimento il
caso di specie: corretta autenticazione informatica, gestione delle credenziali di autenticazione, aggiornamento periodico degli addetti alla manutenzione e
gestione degli strumenti elettronici, adozione di procedure per la custodia di
copie di sicurezza, adozione di tecniche di cifratura nonché protezione degli
strumenti elettronici.

 

Caso di alcuni studi medici

Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso ospedale;

Allo Studio Medico YYY è stata data la sanzione amministrativa di euro 10.000
(diecimila). Allo studio medico il questione è stato contestato di
non avere esibito i documenti richiesti all’Autorità garante.

In data 10.06.2021 il medico XXX è incorso nella sanzione amministrativa
pecuniaria di euro 20.000,00 (ventimila), in quanto non ha adeguatamente
trattato l’informazione ricevuta dal paziente riguardo la propria sieropositività. In
particolare non ha garantito una adeguata sicurezza e riservatezza del dato tale da impedire l’accesso o l’utilizzo non autorizzato dei dati da parte di altri
soggetti.

Conclusione

 

Alla luce della sempre più forte presenza di controlli incrociati tra Guardia di Finanza e Autorità garante e delle asprissime sanzioni in caso di violazione della normativa GDPR, non è mai stato così urgente l’adeguamento al regolamento da parte di tutti i titolari dei trattamenti dati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *