A partire dal 20 maggio 2019 il Garante non deve più “tener conto” ai fini sanzionatori della novità del GDPR
Come è noto, l’art. 22 del D.Lgs. 101/2019 prevedeva che il Garante della Privacy, nell’applicare le sanzioni ammnistrative previste dal nuovo Regolamento europeo (GDPR), “avrebbe tenuto conto” della fase di loro prima applicazione.
Una previsione generica che ha comunque lasciato ben sperare finché è durata, cioè fino al 20 maggio ultimo scorso, quando l’efficacia della suddetta norma è venuta meno. Una speranza non mal riposta dalle aziende, se è vero che l’unica sanzione (ammontante a 50.000 euro) è stata irrogata alla Associazione Rousseau per non aver approntato adeguate misure di sicurezza dopo che il sito web politico gestito dalla stessa aveva subito un data breach nell’estate 2017.
Ma ora il Garante non è più tenuto ad essere comprensivo e può procedere ad irrogare le sanzioni previste dal GDPR con l’ampia discrezionalità che le generiche previsioni dello stesso regolamento gli consentono. Basti pensare che il GDPR quantifica le sanzioni solo nel massimo, indicato in 10 milioni - o 20 milioni - di euro a seconda del fatturato annuo. E il Garante, nel liquidarle, deve tener conto di criteri quali: il carattere doloso o colposo delle violazioni; i precedenti del responsabile delle violazioni stesse; la natura e la gravità delle infrazioni; il numero dei danneggiati; le misure adottate per attenuare i danni e la cooperazione prestata al Garante dal responsabile della violazione (LC).
