Tipologie di sanzioni inflitte ad aziende ed enti dalle Autorità Garanti Privacy

Secondo un’indagine condotta a livello Europeo sulle tipologie di sanzioni inflitte ad aziende ed enti dalle autorità Garanti per la privacy, una delle principali violazioni è relativa alla mancanza di nomine ex art.28 GDPR per i Responsabili del trattamento. Queste sono spesso rilevate in occasione di data breach non notificati al Garante e vengono notificate sia al Titolare che al Responsabile del trattamento. Le sanzioni relative alla presente violazione hanno un importo massimo di 10 milioni di euro o fino al 2% del fatturato.

È assolutamente necessario evitare di procedere al trattamento di dati personali dei clienti per finalità non previste dalla nomina ex art. 28 del GDPR, nel caso in cui questo accada, si assumerebbe il ruolo di Titolare autonomo con tutte le conseguenze del caso.

Ulteriori cause di sanzioni riguardano la mancanza di un’adeguata base giuridica che legittima il trattamento dei dati personali come ad esempio trattare dati senza il consenso dell’interessato, o in assenza di requisito normativo o contrattuale.

Altra causale ricorrente si riferisce a violazioni legate all’adozione di misure tecniche e organizzative insufficienti a garantire la sicurezza dei dati personali, situazioni spesso emerse in occasione di un data breach.

Vengono spesso sanzionate violazioni legate all’inosservanza dei principi generali del GDPR, tra cui i principi di liceità, trasparenza, correttezza e di minimizzazione dei dati.

Infine, sono rilevanti anche le sanzioni per inadempimento rispetto ai diritti degli interessati, assenza di opportune informative come previsto dagli artt. 13 e 14 GDPR ed infine assenza di adeguata collaborazione con le Autorità di controllo.