Il Regolamento Europeo 679/2016 disciplina il tema della “responsabilizzazione” (o in inglese “accountability”) di titolari e responsabili. I rischi, derivanti dall’inadempimento dei principi stabiliti dal GDPR, hanno un impatto al quanto cospicuo in termini finanziari per le società, sia nell’ambito civilistico che penale. Il presente Regolamento prevede, da parte dei soggetti responsabili, comportamenti proattivi e dimostrabili al fine di accertare la sua corretta e concreta adozione.
IL TITOLARE E IL RESPONSABILE DEL TRATTAMENTO
Innanzitutto è necessario stabilire chi sono i soggetti responsabili, per la normativa, della corretta ed adeguata applicazione del Regolamento Europeo 679/2016.
Il primo è senz’altro il titolare del trattamento (art. 4 co. 7 del GDPR) che ha il compito di definire i mezzi e le finalità del trattamento dei dati. Inoltre, è il soggetto responsabile dell’applicazione di misure tecniche e organizzative allo scopo di conformare il trattamento al presente Regolamento. Quindi, in caso di violazione, il titolare è il soggetto che ne risponde. Se sono presenti contitolari, in tal caso la responsabilità sarà in solido. Il titolare, però, non è l’unico soggetto ad avere responsabilità all’interno di una società. Il responsabile del trattamento dei dati (art. 4 co. 8 del GDPR) deve rispettare gli obblighi e le modalità del trattamento definite all’interno dell’atto di nomina ex art. 28 del Reg. Ue 679/2016. Vien da solo il principio secondo il quale, in caso di violazione, il responsabile del trattamento risponde solo se non ha adempiuto in maniera corretta agli obblighi previsti o non ha agito in modalità conforme alle istruzioni impartite dal titolare. Il titolare, dunque, risponde del trattamento dei dati del responsabile, che tuttavia potrà rivalersi verso il soggetto in questione.
Quindi, il titolare risponde per la violazione del Regolamento prodotto al proprio comportamento che ha cagionato il danno, invece il responsabile ne risponde solo se non ha adempiuto agli obblighi o non ha agito in modo conforme rispetto alle istruzioni assegnate dal titolare (art. 82 co. 2 del GDPR.
Entrambi i soggetti, tuttavia, sono esonerati a rispondere, in caso di violazione, se dimostrano che l’evento non è in alcun modo imputabile al proprio comportamento, ai sensi dell’Articolo 82 co. 3 del GDPR e, altresì, definito nel Considerando 146.
COSA RISCHIO?
Nell’ambito civilistico il Regolamento Europeo ha delimitato particolari sanzioni amministrative in caso di violazioni della normativa. L’Articolo 83 del GDPR, rileva due differenti categorie di sanzioni applicate a due diversi gruppi di violazioni: le violazioni di maggiore gravità e le violazioni di minore gravità.
Le prime riguardano violazioni specifiche e sono relative all’inosservanza dei principi di base del trattamento (artt. 5, 6, 7 e 9), dei diritti degli interessati (artt. 12-22), dei trasferimenti di dati personali a paesi terzi o organizzazioni internazionali a norma degli articoli da 44 a 59, di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX e di ordini dell’autorità di controllo (Il Garante Privacy). Nel caso in cui vi sia una di queste fattispecie, la sanzione ammonta fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le violazioni di minore gravità sono relative ad obblighi, sanciti dal Regolamento, del titolare e del responsabile del trattamento (artt. 8, 11, 25-39, 42, 43). Esse prevedono sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le sanzioni sono irrogate, ai sensi dell’Articolo 83 co.2 GDPR, attraverso l’analisi del caso specifico da parte del Garante per la protezione dei dati personali. L’analisi avverrà tenendo conto della natura, della gravità, della durata della violazione, del carattere doloso o colposo, delle misure adottate per attenuare il danno subito agli interessati, etc. Le sanzioni, inoltre, dovranno comunque essere effettive, proporzionate e dissuasive.
Nell’ambito penale, invece, le sanzioni e le fattispecie sono previste dal Codice Privacy (196/2003, modificato dal D.Lgs. 101/2018) e sono le seguenti:
- Trattamento illecito dei dati (art. 167);
- Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167-bis);
- Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter);
- Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168);
- Inosservanza dei provvedimenti del Garante (170).
Inoltre, è sempre prevista la pena accessoria della pubblicazione della sentenza di condanna per tutti i reati presenti nel Codice in materia di protezione dei dati personali, creando, di conseguenza, un notevole danno reputazionale.
L’IMPORTANZA DELLA FORMAZIONE
La formazione risulta essere un elemento cardine quando si parla di responsabilità. È necessario, per essere conformi al GDPR, che il processo di sensibilizzazione avvenga sia ai soggetti in posizione apicale, ma anche ai dipendenti o comunque in altri soggetti autorizzati a trattare dati personali. Attraverso la sensibilizzazione di questi temi è molto più semplice ridurre il rischio di un eventuale violazione che porterebbe ad una sanzione, portando con sé un impatto nocivo alla reputazione aziendale.
Conoscere le norme è fondamentale e per fare questo occorre necessariamente formarsi e aggiornare costantemente la propria formazione.
Se hai dei dubbi sul tema della responsabilità in caso di violazioni del GDPR, non esitare a contattare B&P Solution. I nostri esperti ti offriranno un’analisi approfondita riguardo la tua realtà aziendale, individuando eventuali criticità e fornendoti tutte le indicazioni necessarie per essere pienamente conforme al GDPR. Inoltre, grazie al nostro programma di formazione riuscirai a sensibilizzare appieno tutti i soggetti coinvolti, al fine di evitare noiose conseguenze. Il rispetto della privacy è importante, non trattare questo tema in modo residuale!
Commenti recenti