Risposta

Il regolamento generale sulla protezione dei dati fornisce diverse alternative alle autorità per la protezione dei dati in caso di inosservanza delle norme sulla protezione dei dati:

  • possibile violazione: potrà essere emesso un avvertimento;
  • violazione: le possibilità comprendono un ammonimento, un divieto temporaneo o definitivo di trattamento e una sanzione pecuniaria fino a 20 milioni di euro, pari al 4 % del fatturato totale annuo mondiale dell’azienda.

Si noti che, in caso di violazione, l’autorità per la protezione dei dati può imporre una sanzione pecuniaria al posto o in aggiunta all’ammonimento e/o al divieto di trattamento.

L’autorità deve garantire che le sanzioni imposte in ogni singolo caso siano effettive, proporzionate e dissuasive. Terrà conto di una serie di fattori quali la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo, qualsiasi azione intrapresa per attenuare il danno subito dagli interessati, il grado di cooperazione dell’organizzazione ecc. 

Esempio

Un’azienda vende materiale per la casa online. Attraverso il sito web, si possono acquistare elettrodomestici da cucina, tavoli, sedie e altri articoli domestici inserendo i dati bancari. Il sito web ha subito un attacco informatico che ha reso disponibili agli aggressori i dati personali. Sembra che la causa della perdita dei dati sia stata la mancanza di misure tecniche adeguate da parte dell’azienda.

In questo caso, l’autorità di vigilanza valuterà vari fattori prima di decidere quale strumento correttivo utilizzare. Fattori come: quanto era grave la carenza nel sistema IT? Per quanto tempo l’infrastruttura IT è stata esposta a un tale rischio? Sono stati effettuati test in passato per prevenire un simile attacco? Sono stati rubati o divulgati i dati di quanti clienti? Di che tipo di dati personali si parla? Anche dati sensibili? Queste e altre considerazioni saranno prese in esame dall’autorità di vigilanza.

Riferimenti

  • Articoli 58, 60, 83 e 84; considerando 129, 148, 150 e 151 del regolamento.
  • Gruppo di lavoro ex articolo 29 — Linee guida sull’applicazione e la fissazione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) 2016/679 del 3 ottobre 2017.