Una menzione particolare va fatta a proposito delle sanzioni in cui possono incorrere gli enti e le aziende che non si conformano alle GDPR policy. Sono essenzialmente riconducibili a due tipologie principali: le sanzioni di carattere amministrativo-pecuniare e i richiami “ufficiali”. In linea di massima, l’entità delle sanzioni segue un approccio graduale che varia a seconda della gravità della violazione.
In particolare, ai sensi dell’art.83 del regolamento Europeo sulla privacy (GDPR) possono essere comminate le seguenti sanzioni:
- Un richiamo verbale in caso di una prima inadempienza non intenzionale;
- Sanzioni fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, in caso di violazione (fra l’altro) degli obblighi del titolare del trattamento e del responsabile del trattamento;
- Sanzioni fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, in caso di violazione (fra l’altro) dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, delle regole sui trasferimenti di dati personali a un destinatario in un paese terzo.
- Come extrema ratio (e in linea con quanto previsto dall’art.58), le autorità di controllo possono avvalersi di una serie di interventi correttivi, come la possibilità di limitare e addirittura vietare il trattamento dei dati alle aziende inadempienti.
L’articolo 84 sancisce inoltre che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”.
Si tratta di sanzioni importanti, che farebbero rabbrividire anche la più florida e consolidata delle organizzazioni. Infliggere uno solo di questi provvedimenti potrebbe arrecare danni ingenti non solo dal punto di vista economico ma anche sul piano della brand reputation e dell'immagine aziendale.