La violazione della Privacy, in un sito web, si compie quando il sito non è conforme ai requisiti dettati dal GDPR, sia dal punto di vista realizzativo sia per omissione, inadeguatezza o errori delle relative informative.
Le sanzioni possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuo.
Durante il lavoro mi capita spesso di incontrare una forte impreparazione riguardo il Regolamento Europeo sulla Protezione dei dati personali (GDPR).
Qualsiasi sito web o e-commerce tratta i dati personali degli utenti:
- nel momento in cui si effettua l’accesso, che sia anonimo o riservato
- durante la visita dei suoi contenuti
- alla conclusione di un processo d’acquisto
- attraverso i Cookie
- attraverso l’invio di newsletter
- attraverso la ricezione di richieste inviate tramite moduli web
- attraverso la raccolta e il trattamento dei dati relativi ai clienti
Violare le norme sulla Protezione dei dati personali può avere ripercussioni pesanti su qualsiasi impresa: il Garante può comminare sanzioni pecuniarie o sanzioni penali a seconda della gravità della violazione.
Quando scattano le sanzioni previste dal GDPR?
Quali sono le violazioni privacy che possono essere contestate al titolare del sito e-commerce?
Cosa bisogna fare per essere in regola?
Questo articolo risponderà a tutti i tuoi dubbi sulle sanzioni previste dal GDPR e ti spiegherà come avere un sito a norma.
Indice
- Sanzioni GDPR 2020/2021: alcuni dati
- Quando scattano le sanzioni previste dal GDPR
- Cosa considera l’Autority per stabilire la sanzione
- Sanzioni previste per violazione della Privacy
- - GDPR: Provvedimenti correttivi
- - GDPR: Sanzioni amministrative pecuniarie
- - GDPR: Sanzioni penali
- - GDPR: Sanzioni civili
- Conclusioni
Sanzioni GDPR 2020/2021: alcuni dati
Sebbene non siano stati particolarmente pubblicizzati, negli ultimi anni gli interventi del Garante Privacy sono stati numerosi, sia in Italia che nel resto dell’Europa.
Il paese in cui sono state irrogate il maggior numero di sanzioni per la mancata compliance sulla privacy è stato la Spagna, con 273 provvedimenti.
Nel nostro paese le sanzioni comminate per violazione del GDPR sono state 75 per un totale di 84,5 milioni di euro.
La multa più alta mai erogata in relazione al GDPR è stata proprio nei confronti del colosso della vendita online: 746 milioni di euro inferti ad Amazon in Lussemburgo.
Mentre, il Garante della Privacy francese ha sanzionato Google per 50 milioni di euro.
Le motivazioni più frequenti sono state:
- Insufficienti basi legali per l’elaborazione dei dati
- insufficienti misure tecniche e organizzative per garantire la sicurezza dei dati
- non-compliance con i principi generali del data processing
Continua a leggere, lo scoprirai nei prossimi paragrafi.
Quando scattano le sanzioni previste dal GDPR
Le sanzioni previste dal GDPR riguardano la violazione delle norme sulla protezione dei dati personali di una persona fisica, cioè tutte quelle informazioni che rendono la persona riconoscibile o identificabile.
Il GDPR è nato con lo scopo di responsabilizzare le aziende e i professionisti su 3 aspetti relativi ai dati personali:
- la raccolta
- l’uso
- e la conservazione dei dati.
Oltre a questi adempimenti, compito del Garante è di verificare la nomina del DPO, le azioni messe in conto in caso di data breach, la compilazione del registro dei trattamenti.
Chi effettua gli accertamenti?
Le attività di controllo, in genere, vengono effettuate dal Nucleo Privacy della Guardia di Finanza che si rapporta continuamente con l’Autorità Garante per la protezione dei dati personali.
Il lavoro avviene in maniera coordinata tra le due istituzioni che, attraverso un protocollo d’intesa, verificano che non ci siano violazioni privacy.
Le sanzioni GDPR possono essere indirizzate al titolare del trattamento o al responsabile del trattamento.
Cosa considera l’Autority per stabilire la sanzione
Nel GDPR non viene stabilito un importo minimo dal quale partire per calcolare l’ammontare delle multe, la normativa fissa un importo totale che non può essere superato.
Ma si prevede che le sanzioni siano effettive, proporzionate e dissuasive.
E allora come si calcola l’ammontare delle sanzioni per il GDPR?
Innanzitutto bisogna sottolineare che le sanzioni non possono essere simboliche, ma proporzionate alla violazione.
In ogni caso, l’articolo 83 del GDPR elenca i criteri che vanno tenuti in considerazione per valutare l’entità della sanzione:
- la natura, la gravità e la durata della violazione
- il carattere doloso o colposo della violazione
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento
- precedenti violazioni del GDPR
- categorie di dati personali violate
- esistenza di aggravanti o attenuanti applicabili
Per quanto riguarda le sanzioni GDPR per l’ecommerce, è fondamentale sapere che vengono considerate particolarmente gravi le violazioni privacy relative a:
- principi base del trattamento, comprese le condizioni relative al consenso
- diritti dell’interessato
- il trasferimento dei dati personali a destinatari in un paese terzo o a un’organizzazione internazionale.
Sanzioni previste per la violazione della Privacy
Il GDPR prevede diverse misure per la mancata compliance della Privacy:
- sanzioni correttive
- sanzioni amministrative pecuniarie
- sanzioni penali
- sanzioni civili
Vediamo cosa comportano.
GDPR: Provvedimenti correttivi
Il Garante della Privacy può decidere di emettere dei provvedimenti correttivi nei confronti del Titolare o del Responsabile del trattamento, in aggiunta o meno alle sanzioni pecuniarie.
I provvedimenti correttivi possono essere di diverso tipo: si va dagli avvertimenti, sino al divieto di trattare determinati dati personali, oppure all’ingiunzione di cancellarli.
Queste sanzioni, però, sono da temere anche più delle sanzioni pecuniarie, perché possono addirittura costringere a modificare il modello di business o la supply chain.
Un esempio per capire.
Immaginiamo un e-commerce che ha un fornitore in un paese extraeuropeo (es. Cina), a cui trasmette i dati personali dei suoi clienti per far spedire gli ordini.
Un provvedimento sanzionatorio correttivo che vieta il trasferimento dei dati in quel paese, obbliga di fatti l’e-commerce a rivolgersi ad altri fornitori (supply chain stravolta), e deve rispondere anche delle responsabilità che ha nei confronti dei suoi clienti, con cui si è obbligato contrattualmente (responsabilità contrattuale).
GDPR: Sanzioni amministrative pecuniarie
Tra le novità più importanti introdotte dal GDPR vi è anche l’aumento delle sanzioni pecuniarie.
Il Regolamento europeo sul trattamento dei dati personali prevede due gruppi di sanzioni, a seconda della gravità delle violazioni privacy:
- violazioni di minore gravità: sanzione fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente
- violazioni di maggiore gravità: fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente
Ecco alcuni esempi:
Nel primo caso rientrano la mancata comunicazione di data breach e l’omissione di nomina del DPO.
Le violazioni privacy più gravi riguardano l’uso dei dati senza consenso al trattamento, omessa o inadeguata informativa privacy, la violazione dei diritti degli interessati.
A questi, poi, si aggiungono le sanzioni pecuniarie previste dal Codice Privacy italiano.
GDPR: Sanzioni penali
Il Codice Privacy, il D.Lgs. 196/2003, prevede anche sanzioni penali, nei casi di violazioni più gravi della normativa privacy e che si aggiungono a quelle pecuniarie.
Le sanzioni previste sono:
- trattamento illecito dei dati: reclusione dai 6 mesi ai 3 anni
- comunicazione dei dati personali raccolti per il trattamento in larga scala: reclusione da 1 a 6 anni
- acquisizione di dati personali raccolti per il trattamento su larga scala effettuata in modo fraudolento: reclusione da uno a quattro anni
- rilascio di dichiarazioni false al Garante: reclusione da 6 mesi a 3 anni
- mancato rispetto dei provvedimenti stabiliti dal Garante: reclusione da 3 mesi a 2 anni
GDPR: Sanzioni civili
Tra le conseguenze previste, c’è anche la responsabilità civile e il risarcimento danni nei confronti della persona lesa.
La sanzione civile può essere aggiunta alla sanzione penale e comprende sia i danni materiali che quelli immateriali.
Conclusioni
Un sito e-commerce tratta tantissimi dati personali, e le sanzioni per violazione della normativa privacy sono tra le più rischiose, perché possono costare care in termini economici, di reputazione e dell’intero business online.
Molti si rivolgono a noi per adeguare il sito e-commerce al GDPR.
Se non vuoi correre rischi per la violazione della privacy, contattaci e affidati al nostro team specializzato.