La massiccia campagna di informazione che in questi giorni le imprese stanno sperimentando sui principali social network o ricevendo come proposte commerciali via mail induce legittimamente a chiedersi: ma quanto mi costa?
Stiamo ovviamente parlando di Privacy e più precisamente del Regolamento UE 2016/679 che farà il suo debutto il 25 maggio prossimo andando a riscrivere il D.Lgs. 196/2003 attorno al quale finora ruotava la disciplina sulla privacy.
Saranno oggetto di specifico approfondimento le novità in arrivo in materia di privacy mentre oggetto del presente contributo è riepilogare i costi relativi all’adeguamento alla nuova normativa privacy o… meglio, i costi relativi al mancato adeguamento alla normativa.
Utilizzati come spauracchio a fini commerciali, le famigerate sanzioni per le future violazioni della normativa sulla privacy vengono tuttavia ampiamente sottovalutate dall’ampia platea cui il regolamento UE si applica.
Vediamo di cosa si tratta.
Innanzitutto, qualsiasi violazione del regolamento che comporti un danno all’interessato del trattamento fa sorgere in capo all’interessato un diritto al risarcimento del danno dal titolare o dal responsabile del trattamento.
In seconda battuta il Regolamento UE demanda a ciascuno stato la regolamentazione penale legata alle violazioni in materia di privacy. Dal punto di vista italiano, risultano compatibili le previsioni sulla responsabilità penale di cui al Decreto legislativo. n. 196/2003 il quale, a seconda della gravità del fatto prevede la reclusione per un periodo dai 6 mesi ai 3 anni.
Vera e propria novità del regolamento è invece la previsione di sanzioni amministrative notevolmente più penalizzanti rispetto alla normativa attualmente in vigore. Le nuove sanzione infatti andranno valutate dalle Autorità Garanti di ciascuno stato in base al fatturato annuo e in base all’entità della violazione. Viene inoltre stabilito che la sanzione amministrativa debba essere effettiva, proporzionata e dissuasiva e che in caso di plurime violazioni commesse relativamente ad una stessa operazione di trattamento di dati personali, l’importo totale della sanzione non possa superare l’importo indicato per la violazione più grave commessa.
Venendo alla quantificazione delle sanzioni, le stesse possono arrivare fino a 10 milioni di euro e comunque fino al 2 per cento del fatturato. Per le violazioni più gravi, le sanzioni vengono raddoppiate e possono arrivare ai 20 milioni di euro (o al 4% del fatturato).
Le sanzioni sono state dunque inasprite proprio al fine di evitare che le imprese di più grandi dimensioni in una valutazione rischi/benefici potessero valutare di cavarsela con il pagamento di una sanzione “simbolica” rispetto al fatturato generato. Le sanzioni inoltre verranno applicate sotto l’occhio vigile dell’Unione Europea pertanto risulta inutile confidare nell’inefficienza dell’apparato burocratico e amministrativo italiano.
