Le sanzioni del GDPR sono strutturate su due fasce con massimali diversi e vengono comminate dal Garante per la Protezione dei Dati Personali a seguito di indagini d'ufficio o reclami degli interessati. Questa guida spiega come funzionano i massimali, quali criteri il Garante usa per quantificare la sanzione, e cosa emerge dall'analisi dei provvedimenti italiani degli ultimi anni. Contenuto informativo: per valutare il rischio specifico della tua organizzazione serve un DPO o un avvocato specializzato.
Un punto spesso frainteso: il massimale percentuale sul fatturato non è automatico, è un tetto. La sanzione effettiva può essere molto inferiore, e in molti casi lo è. Ma può anche superare cifre che apparivano simboliche, specialmente per le violazioni sistemiche.
Le due fasce sanzionatorie: come funzionano
L'art. 83 del GDPR distingue due livelli. La fascia inferiore (art. 83.4) si applica a violazioni di obblighi tecnico-organizzativi come il registro dei trattamenti, la valutazione d'impatto (DPIA), la nomina del DPO quando obbligatorio, e gli obblighi dei responsabili del trattamento: fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, se superiore.
La fascia superiore (art. 83.5) colpisce le violazioni dei principi fondamentali del trattamento (liceita, correttezza, minimizzazione), del consenso, dei diritti degli interessati, e dei trasferimenti verso Paesi terzi privi di adeguate garanzie: fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, se superiore. Per le grandi aziende questa seconda soglia e quella che conta davvero.
Come il Garante calcola la sanzione concreta
Il massimale e solo il tetto. Per fissare l'importo effettivo il Garante applica i criteri dell'art. 83.2, che comprendono: natura, gravita e durata della violazione; carattere doloso o colposo; misure adottate per attenuare il danno; grado di responsabilita del titolare; eventuali precedenti violazioni; cooperazione con l'autorita; categorie di dati coinvolti (le categorie particolari aggravano); modalita in cui la violazione e venuta a conoscenza dell'autorita; e rispetto di eventuali provvedimenti precedenti.
La cooperazione attiva e la notifica spontanea di un data breach (art. 33 GDPR, entro 72 ore) pesano in modo significativo sulla riduzione della sanzione. I provvedimenti italiani mostrano che le aziende che hanno comunicato tempestivamente e dimostrato misure correttive immediate hanno ricevuto sanzioni sensibilmente inferiori rispetto ai soggetti che hanno minimizzato o ostacolato l'indagine.
I provvedimenti italiani: cosa mostrano i numeri
Il Garante italiano e tra i piu attivi in Europa per numero di provvedimenti. Tra i casi piu rilevanti degli ultimi anni: la sanzione a Clearview AI (20 milioni, massimo fascia superiore, per profilazione biometrica senza base legale); quella ad Enel Energia per telemarketing aggressivo (26,5 milioni complessivi tra piu provvedimenti); e le sanzioni ricorrenti al sistema sanitario pubblico per data breach e accessi non autorizzati a dati di salute.
Il settore sanitario e quello che piu frequentemente incappa nella fascia superiore, perche i dati di salute sono una categoria particolare ex art. 9 GDPR e le violazioni coinvolgono diritti fondamentali. Il telemarketing senza consenso valido e invece il filone che genera il maggior numero di provvedimenti per volume, spesso su PMI che usano liste di contatti acquistate senza verificare la provenienza.
Ridurre il rischio: le misure che il Garante premia
La conformita strutturale vale piu della conformita documentale. Il Garante valuta se le misure sono effettivamente implementate, non solo scritte in una policy. I punti che alleggeriscono sistematicamente la sanzione sono: nomina del DPO e sua reale operativita; registro dei trattamenti aggiornato e preciso; DPIA svolta per i trattamenti ad alto rischio; procedure di notifica data breach testate e funzionanti; formazione documentata del personale che tratta dati.
Al contrario, aggravano la posizione: la scoperta della violazione da parte di terzi (giornalisti, ricercatori, interessati) anziche l'autonotifica; le categorie particolari di dati coinvolte; la dimensione dell'impatto sugli interessati; e i precedenti con l'autorita di controllo.
Domande frequenti
- Qual e il massimale della sanzione GDPR in Italia?
La fascia superiore (violazioni dei principi fondamentali, consenso, diritti degli interessati, trasferimenti extra-UE) arriva fino a 20 milioni di euro o al 4% del fatturato annuo mondiale del gruppo, se superiore. La fascia inferiore (obblighi tecnico-organizzativi) arriva fino a 10 milioni o al 2% del fatturato. Questi sono tetti: la sanzione effettiva e calcolata caso per caso.
- Il Garante puo sanzionare anche le PMI?
Si. Non esiste una soglia dimensionale sotto la quale il GDPR non si applica. I massimali percentuali sul fatturato fanno si che le sanzioni siano proporzionate alle dimensioni, ma le PMI vengono sanzionate regolarmente, in particolare per telemarketing senza consenso valido e per data breach non notificati.
- Cosa fare se il Garante avvia un'indagine?
Cooperare attivamente e documentare subito le misure correttive adottate. La cooperazione e un criterio esplicito di riduzione della sanzione. Non ostacolare l'indagine e non minimizzare i fatti: entrambi aggravano la posizione. Affidarsi a un avvocato specializzato in protezione dei dati fin dall'avvio del procedimento.
- La notifica del data breach riduce la sanzione?
In genere si, specialmente se tempestiva (entro 72 ore all'autorita, e agli interessati quando richiesto). L'autonotifica dimostra responsabilizzazione, un principio centrale del GDPR, e i provvedimenti italiani mostrano che il Garante la valorizza in modo consistente nella quantificazione della sanzione.