Il GDPR è noto per le multe salate e spaventose. Multe record come quella da 1,2 miliardi di euro di €Meta per il trasferimento di dati e quella da 745 milioni di euro di Amazon hanno fatto notizia e hanno suscitato una sana discussione sulla conformità e sulla privacy. Ma cosa sono le multe del GDPR e come funzionano esattamente?
Questo blog spiega tutto quello che c'è da sapere sulle multe del GDPR: come vengono emesse e calcolate, come possono essere contestate, come si differenziano da altri strumenti di applicazione e altro ancora. Immergiamoci!
Le basi
Che cos'è una multa GDPR?
Le multe del GDPR sono atti amministrativi, non sentenze. Questo ha importanti conseguenze sul funzionamento delle multe e su come possono essere impugnate.
Non c'è molto altro da dire, in realtà. Sapete cos'è una multa: si infrange una regola, si viene scoperti e si deve pagare.
Come si viene multati ai sensi del GDPR?
Qualsiasi violazione del GDPR può comportare una multa. Le organizzazioni vengono multate per i motivi più disparati: raccolta illegale di dati personali, mancato trasferimento sicuro dei dati, implementazione di una scarsa sicurezza informatica, mancata segnalazione di una grave violazione dei dati e così via.
Il fatto che possiate essere multati per queste violazioni non significa che lo sarete. A volte le organizzazioni se la cavano con un avvertimento e l'ordine di sistemare la loro conformità. Questo accade di solito quando una piccola organizzazione commette un errore onesto senza conseguenze gravi per i singoli.
Chi emette le multe del GDPR?
Le multe del GDPR sono emesse dalle autorità di protezione dei dati (anche dette DPA o autorità di vigilanza).
Le DPA sono autorità amministrative che applicano il GDPR nel loro paese. Ogni Paese dell'UE e dello Spazio economico europeo ha una DPA (o più di una, nel caso degli Stati federali).
Le DPA non si limitano a comminare multe. Ad esempio, possono ordinare a un'organizzazione di interrompere temporaneamente un'operazione che comporta l'uso di dati personali, o addirittura di chiuderla definitivamente. Queste sanzioni possono talvolta avere un impatto maggiore sulle organizzazioni rispetto alle multe.
Le multe sono danni?
Le multe e i danni svolgono entrambi un ruolo importante nell'applicazione del GDPR, ma non sono la stessa cosa.
I danni e le multe provengono da autorità esecutive diverse: i tribunali concedono i danni e le DPA emettono multe per il GDPR. I tribunali e le DPA hanno poteri diversi e nessuno dei due può fare il lavoro dell'altro.
I danni e le multe hanno anche scopi diversi, perché i danni sono una forma di risarcimento, mentre le multe sono uno strumento di punizione e deterrenza.
In pratica, ciò significa che le persone hanno diritto a un risarcimento danni solo quando la cattiva gestione dei loro dati ha provocato un qualche tipo di danno (compresi i "danni morali", come si dice in gergo legale). D'altra parte, si può essere multati per una violazione indipendentemente dal fatto che si sia causato un danno o meno, proprio come si può ricevere una multa per eccesso di velocità senza aver causato un incidente stradale.
Tutto ciò non è una particolarità del GDPR. È solo il modo in cui i danni funzionano nelle giurisdizioni di diritto civile.
Aspetti pratici
Come vengono calcolate le multe del GDPR?
Il GDPR comprende un elenco molto lungo e complesso di criteri. Quindi, dobbiamo semplificare grossolanamente.
Uno dei criteri principali è l 'impatto della violazione. Le multe tendono a essere più alte per le violazioni altamente dannose e impattanti, ad esempio una scarsa sicurezza informatica che porta a una violazione dei dati su larga scala.
Altri criteri importanti sono se la violazione è intenzionale, se un'organizzazione ha una storia di non conformità e se la violazione riguarda dati sensibili (nel senso specifico del GDPR, non nel senso generico di tutti i giorni).
Anche il comportamento di un'organizzazione dopo una violazione è importante. Le multe sono più basse quando le organizzazioni collaborano con le indagini e si sforzano di correggere i propri errori prima che arrivi la multa. Questo incoraggia le organizzazioni a collaborare con le DPA per raggiungere la conformità, piuttosto che intraprendere una guerra legale contro l'applicazione delle norme.
Infine, ma non meno importante, il buon senso gioca un ruolo fondamentale. Un errore onesto di una piccola impresa non viene trattato allo stesso modo di una non conformità intenzionale di una multinazionale.
Qual è il tetto massimo delle multe previste dal GDPR?
Le multe hanno un tetto massimo di 10 milioni di euro o del 2% del fatturato mondiale annuo, se superiore. Questi limiti vengono raddoppiati per le violazioni più gravi, come la raccolta illegale di dati sensibili: i massimali effettivi sono quindi di 20 milioni di euro o del 4% del fatturato mondiale annuo.
Questo 4% può essere un numero enorme per le aziende, perché può essere calcolato sulla base del fatturato di interi gruppi aziendali. È così che Meta ha ottenuto la multa record di 1,2 miliardi di euro: l'importo è stato calcolato sul fatturato dell'intero gruppo Meta, anche se il caso riguardava (nominalmente) la sola Meta Platforms Ireland.
Le multe sono pubbliche?
Le giurisdizioni hanno regole diverse. Alcune autorità pubblicano la maggior parte o tutte le loro decisioni, mentre altre non lo fanno. Ad esempio, alcune autorità trattano la pubblicazione come una punizione aggiuntiva che può essere inflitta solo se appropriata. Altre limitano la pubblicazione della decisione fino a quando non può più essere contestata: ecco perché non possiamo ancora leggere la motivazione della multa di 746 euro di Amazon.
Si può essere multati per una violazione dei dati?
Sì, è possibile. Ma non si viene automaticamente multati per una violazione dei dati.
Il GDPR richiede alle organizzazioni di implementare una sicurezza adeguata, non una sicurezza perfetta. Si viene multati solo se non si è fatto abbastanza per proteggere i dati. Al contrario, si può essere multati per aver implementato una sicurezza insufficiente anche se non si verifica alcuna violazione dei dati.
Vale anche la pena di ricordare che le organizzazioni devono autodenunciare le gravi violazioni dei dati alle autorità di protezione dei dati (e, in alcuni casi, anche alle persone interessate). La mancata autodenuncia è motivo di multa.
La procedura
Come vengono emesse le multe del GDPR?
Le multe del GDPR vengono emesse dalle autorità di protezione dei dati dopo un'indagine. Le autorità di protezione dei dati possono indagare sui reclami o avviare un'indagine di propria iniziativa. In pratica, la maggior parte delle indagini segue un reclamo.
Le multe sono regolate non solo dal GDPR ma anche dal diritto amministrativo nazionale. La procedura per l'emissione di una multa cambia da Paese a Paese, così come i diritti e il ruolo delle parti nell'indagine.
La procedura per i casi transfrontalieri è più complicata perché può coinvolgere più DPA.
Come vengono impugnate le multe del GDPR?
Il destinatario di un'ammenda ha il diritto di farla riesaminare da un tribunale. Questo è un principio fondamentale del diritto amministrativo e vale in ogni giurisdizione dell'UE.
La procedura per impugnare una multa varia notevolmente da una giurisdizione all'altra. Ad esempio, un ricorso amministrativo può talvolta essere disponibile in aggiunta al ricorso giudiziario (ma non può mai sostituirlo). Ciò significa che il destinatario di un'ammenda può farla riesaminare non solo da un tribunale, ma anche da un organo amministrativo con il potere di ribaltare la decisione della DPA.
Noi di Simple Analytics teniamo alla privacy. Per questo motivo facciamo del nostro meglio per spiegare il GDPR e la legge sulla privacy a tutti, senza ricorrere al legalese.
Se anche voi avete a cuore la privacy, perché non provate il nostro strumento di analisi web? Abbiamo costruito Simple Analytics pensando all'innovazione, alla privacy degli utenti e alla facilità d'uso. Simple Analytics non raccoglie alcun dato personale dei vostri visitatori ed è dotato di un nuovissimo assistente AI per fornirvi esattamente le informazioni che desiderate.
Se vi sembra una buona idea, provate Simple Analytics con le nostre due settimane di prova!