Quali sanzioni vengono designate dal GDPR per le aziende?

Il Regolamento Generale sulla Protezione dei Dati dell’UE (o GDPR) è una legislazione significativa nel campo della riservatezza dei dati personali e definisce sanzioni molto elevate per le aziende non conformi. Cerchiamo di capire quali sono queste sanzioni.

Le sanzioni che possono essere applicate

Il GDPR ha due livelli di sanzioni. Queste sanzioni sono specificate negli articoli 83 e 84 del GDPR dell’UE. Il primo livello è pari a 10 milioni di euro, ovvero il 2% del fatturato annuale globale dell’azienda nel precedente esercizio finanziario. E il secondo livello è di 20 milioni di euro, ovvero il 4% del fatturato annuale globale dell’azienda nel precedente esercizio finanziario.

In ogni scenario, la sanzione più elevata sarebbe la multa massima applicabile alla tua azienda. Ciò significa che se l’azienda avesse un fatturato annuo globale di 1 miliardo di euro nell’ultimo esercizio finanziario e fosse applicabile il secondo livello di sanzione, verrebbe inflitta l’ammenda del 2% di 1 miliardo di euro, vale a dire 20 milioni di euro, perché il 2% del fatturato è più alto rispetto a € 10 milioni. Potrebbe non sembrare logico, ma se un’azienda avesse un fatturato annuo di € 500.000 e il 2% di questo sarebbe quindi di € 10.000 – in questo caso sarebbe applicabile la sanzione di € 10 milioni perché 10 milioni di € sono superiori al 2% del totale annuo turnover. In breve, è applicabile la multa più elevata.

Si prega di notare che il calcolo dimostra la sanzione massima possibile e che potrebbe non venirti inflitta in prima istanza, a meno che la non conformità sia significativa e dovuta a grave negligenza. Inoltre, resta da vedere in che modo le Autorità di Controllo tratteranno le aziende più piccole, perché queste multe massime distruggerebbero le piccole imprese.

Quali sanzioni vengono applicate e in che caso?

Le ammende di primo livello, ovvero 10 milioni di euro o il 2% del fatturato annuale globale dell’azienda, sono applicabili quando un’azienda non fornisce un elenco delle attività di trattamento, non collabora con l’Autorità di Controllo o non comunica in merito alle violazioni dei dati. Vedi anche:

Inoltre, il secondo livello, vale a dire 20 milioni di euro o il 4% del fatturato annuale globale della società, potrebbe essere applicabile in caso una società non riesca a dimostrare la conformità con principi basilari come l’applicazione di condizioni eque per il consenso, non tratti i dati personali per finalità legittime, non rispetti i diritti degli interessati o trasferisca dati personali a un destinatario in un paese terzo senza garanzie. Vedi anche:

I criteri per l’applicazione delle sanzioni

Le sanzioni saranno di regola decise dall’autorità di sorveglianza caso per caso, e la decisione sull’imposizione delle sanzioni includerà fattori quali:

  • la natura, gravità e durata dell’infrazione
  • se la violazione sia intenzionale o dovuta a negligenza
  • le categorie di dati personali interessati
  • il numero di interessati e l’impatto su di essi
  • le misure che erano in atto per proteggere i dati
  • l’aderenza alle norme del settore
  • la cronologia delle infrazioni precedenti

Le aziende dovranno inoltre preoccuparsi di …

Sebbene le sanzioni nel GDPR dell’UE siano significative, le aziende devono preoccuparsi per altre due cose. Una consiste nel fatto che gli interessati devono avere la possibilità di chiedere un risarcimento se le azioni del controllore1) o del processore2) portano dei danni. La seconda consiste nel fatto che è probabile che anche le sanzioni creino danni alla reputazione, danni che non possono essere facilmente quantificati.

Come si può vedere, le sanzioni previste dal GDPR sono molto significative. Ci sono molte discussioni sulle sanzioni, ma la cosa migliore è smettere di parlarne e iniziare a prepararsi per diventare conformi. Quindi, non aspettare e agisci prima che sia troppo tardi.

Per saperne di più sulle sanzioni, registrati per questo corso online gratuito EU GDPR Foundations Course.


1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine ufficiale “Titolare del trattamento” come riportato nel testo dell’UE in quanto più intuitivo
2) Si utilizza qui il termine non ufficiale “Processore” al posto del termine ufficiale “Responsabile del trattamento” come riportato nel testo dell’UE in quanto più intuitivo

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.
Leggi altri articoli di Punit Bhatia