POST 357
Il Regolamento EU
679/2016 introduce sanzioni amministrative pecuniarie con massimi edittali
molto elevati.
Le sanzioni che devono
essere effettive, proporzionate e dissuasive possono arrivare fino a 10 milioni di Euro per le
persone fisiche e al 2% del fatturato
mondiale totale annuo dell’esercizio precedente per le imprese (le
sanzioni vengono applicate all’intero gruppo anche se il titolare del
trattamento è una società dello stesso e non la holding) in caso di:
–
violazione degli obblighi
del titolare e/o responsabile inclusi quelli in tema di notifica del Data
breach e di implementazione delle misure di sicurezza;
–
mancata individuazione
formale di ruoli e responsabilità nel trattamento dei dati personali
–
mancata definizione delle
reciproche responsabilità tra co-Titolari o tra Titolare/Responsabile o mancata
designazione del Rappresentante del Titolare nello Stato;
–
omesse istruzioni agli
incaricati del trattamento;
–
omessa gestione del
registro dei trattamenti;
–
omessa nomina del Dpo,
quando prescritto, o violazione delle regole ad esso relative;
–
omesse misure di
sicurezza adeguate;
–
omesse misure by design e by default;
–
violazioni delle regole
sulle certificazioni;
–
violazioni delle regole sull’organo
di certificazione.
Le sanzioni possono
arrivare fino a 20 milioni di Euro
per le persone fisiche e al 4% del
fatturato mondiale totale annuo dell’esercizio precedente per le
imprese in caso di:
–
violazione degli obblighi
e delle regole sul consenso;
–
violazione dei principi
sul data protection;
–
omesso consenso, quando
richiesto;
–
omessa Vip quando
richiesta;
–
violazione dei diritti
degli interessati;
–
violazione delle regole
sui trasferimenti extra-UE;
–
violazioni degli obblighi
posti dagli Stati Membri;
–
violazione delle
prescrizioni dell’Autorità.
Tommaso Talluto
Avvocato – Studio EPICA – Treviso
