Cosa succede se la mia azienda/organizzazione non rispetta le norme sulla protezione dei dati?

Risposta

Il regolamento generale sulla protezione dei dati fornisce diverse alternative alle autorità per la protezione dei dati in caso di inosservanza delle norme sulla protezione dei dati:

• possibile violazione: potrà essere emesso un avvertimento;
• violazione: le possibilità comprendono un ammonimento, un divieto temporaneo o definitivo di trattamento e una sanzione pecuniaria fino a 20 milioni di euro, pari al 4 % del fatturato totale annuo mondiale dell’azienda.

Si noti che, in caso di violazione, l’autorità per la protezione dei dati può imporre una sanzione pecuniaria al posto o in aggiunta all’ammonimento e/o al divieto di trattamento.

L’autorità deve garantire che le sanzioni imposte in ogni singolo caso siano effettive, proporzionate e dissuasive. Terrà conto di una serie di fattori quali la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo, qualsiasi azione intrapresa per attenuare il danno subito dagli interessati, il grado di cooperazione dell’organizzazione ecc. 

Esempio

Un’azienda vende materiale per la casa online. Attraverso il sito web, si possono acquistare elettrodomestici da cucina, tavoli, sedie e altri articoli domestici inserendo i dati bancari. Il sito web ha subito un attacco informatico che ha reso disponibili agli aggressori i dati personali. Sembra che la causa della perdita dei dati sia stata la mancanza di misure tecniche adeguate da parte dell’azienda.

In questo caso, l’autorità di vigilanza valuterà vari fattori prima di decidere quale strumento correttivo utilizzare. Fattori come: quanto era grave la carenza nel sistema IT? Per quanto tempo l’infrastruttura IT è stata esposta a un tale rischio? Sono stati effettuati test in passato per prevenire un simile attacco? Sono stati rubati o divulgati i dati di quanti clienti? Di che tipo di dati personali si parla? Anche dati sensibili? Queste e altre considerazioni saranno prese in esame dall’autorità di vigilanza.

Riferimenti

• Articoli 58, 60, 83, 84; Considerando 129, 148, 150, 151 del GDPR
• Linee guida del comitato europeo per la protezione dei dati sull'applicazione e la fissazione delle sanzioni amministrative pecuniarie ai fini del regolamento 2016/679 del 3 ottobre 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017