Sanzioni del General Data Protection Regulation (GDPR): Cosa dovreste aspettarvi?

Il General Data Protection Regulation (GDPR) è uno standard globale che conferisce alle autorità di protezione dei dati maggiori poteri di enforcement rispetto a quelli che avevano sotto la precedente Direttiva sulla Protezione dei Dati 95/46/EC (DPD), oltre al potere di imporre multe più sostanziose. Mentre la DPD non specificava l'importo esatto delle sanzioni amministrative per le violazioni della conformità, le multe massime per le violazioni del GDPR possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo dell'organizzazione dell'anno finanziario precedente. Queste penalità sono notevolmente superiori a quelle di qualsiasi altro standard attuale (ad esempio, HIPAA, GLBA o SOX).

Anche se il GPDR non è ancora entrato in vigore, le organizzazioni affrontano già problemi a causa della loro incapacità di dimostrare la conformità allo standard. Esempi recenti includono Flybe e Honda, che sono state multate dall'Ufficio del Commissario per l'Informazione per aver infranto le regole relative alle email di marketing. Entrambe le aziende hanno tentato di conformarsi al GDPR e ottenere il consenso dei clienti in anticipo inviando email per chiedere se le persone desiderano ricevere informazioni di marketing da loro, ma facendo ciò, hanno violato il Regolamento sulla Privacy e le Comunicazioni Elettroniche del Regno Unito (PECR), che vieta tali email senza il giusto consenso perché sono considerate materiale di marketing.

In questo post del blog, Netwrix fornisce risposte alle domande più comuni sulle sanzioni GDPR per aiutarti a familiarizzare con il modo in cui verranno determinate le multe e quali requisiti comportano le sanzioni più pesanti.

Come vengono determinate le multe?

Secondo l'articolo 83 del GDPR, le Autorità di Controllo (SAs) o qualsiasi autorità pubblica indipendente responsabile della protezione dei diritti delle persone fisiche hanno il diritto di emettere multe a qualsiasi organizzazione che non riesca a dimostrare la propria GDPR compliance. Queste multe devono essere “efficaci, proporzionate e dissuasive”. Ci sono diversi criteri che aiutano le SAs a determinare se un'organizzazione deve pagare una multa o meno, e quanto grande deve essere questa multa:

• Natura della violazione — Il numero di persone colpite e il danno subito; la natura, la gravità e la durata della violazione; e lo scopo del trattamento dei dati
• Intenzione — Se la violazione è stata intenzionale o per negligenza
• Mitigazione — Quali azioni sono state intraprese dal responsabile o dal processore dei dati per mitigare i danni ai soggetti dei dati
• Misure preventive — Il grado di responsabilità del controllore e del processore, così come quali misure tecniche e organizzative l'organizzazione ha adottato per prevenire la non conformità
• Storia — Qualsiasi precedente violazione pertinente da parte del controllore o del processore
• Cooperazione — Quanto l'azienda è stata disposta a collaborare con l'SA per rimediare all'infrazione e mitigarne gli effetti potenziali
• Tipo di dato — Quali categorie di dati personali sono interessate dalla violazione
• Notifica — Se il controllore o il processore hanno segnalato proattivamente la violazione
• Certificazione — Se l'azienda ha ottenuto certificazioni o aderito a codici di condotta approvati
• Altri — Altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio, benefici finanziari ottenuti o perdite evitate

Quali sono i livelli delle multe del GDPR?

L'articolo 83 descrive anche due livelli di sanzioni che le organizzazioni possono affrontare se non dimostrano di essere conformi al GDPR. I livelli si basano principalmente su quale requisito è stato violato.

Livello Uno. A questo livello, le organizzazioni si trovano ad affrontare sanzioni fino a 10 milioni di euro, o il 2% del loro fatturato globale annuo per l'anno finanziario precedente. Il livello uno si applica alle violazioni dei seguenti requisiti:

• Obblighi del Titolare e del Responsabile del trattamento — Una delle sezioni più ampie del GDPR è dedicata alle responsabilità dei titolari e dei responsabili del trattamento per un corretto trattamento e protezione dei dati. Ciò include la protezione dei dati fin dalla progettazione e per impostazione predefinita (Articolo 25), norme relative alla sicurezza del trattamento (Articolo 32) e notifica tempestiva di una violazione dei dati alle Autorità di sorveglianza (Articolo 33) e ai soggetti dei dati (Articolo 34). Inoltre, sia i titolari che i responsabili sono tenuti a svolgere valutazioni d'impatto sulla protezione dei dati (Articolo 35) per identificare e mitigare i rischi di sicurezza legati al trattamento dei dati.
• Notifica di violazione dei dati (Articoli 33-34) — L'articolo 33 del GDPR richiede ai responsabili del trattamento dei dati di notificare alle autorità di controllo in caso di violazione dei dati personali, senza indebiti ritardi e entro 72 ore dopo essersi resi conto della violazione dei dati personali, a meno che la violazione non sia improbabile che metta a rischio i diritti e le libertà delle persone fisiche. L'articolo 34 riguarda la notifica delle violazioni dei dati personali ai soggetti dei dati e specifica i dettagli che le organizzazioni devono fornire (inclusa la natura della violazione, un punto di contatto e le probabili conseguenze).
• Obblighi dell'organismo di monitoraggio (Articolo 41) — L'articolo 41 copre il monitoraggio dei codici di condotta approvati che dovrebbe essere effettuato da un organismo che possiede l'esperienza pertinente e che è accreditato a tale scopo da un'autorità di vigilanza competente.
• Obblighi dell'ente di certificazione (Articoli 42 e 43) — Secondo l'articolo 42, gli stati membri e le autorità di controllo devono incoraggiare la creazione di meccanismi di certificazione per la protezione dei dati per aiutare i responsabili del trattamento e i processori a dimostrare la conformità con il GDPR. Le certificazioni possono essere rilasciate sia da un ente di certificazione accreditato che dal Comitato Europeo per la Protezione dei Dati. L'articolo 43 stabilisce che l'accreditamento è disponibile per un ente di certificazione solo in determinate circostanze, ad esempio, se l'ente dimostra una certa indipendenza ed esperienza, o stabilisce procedure per gestire reclami riguardo a violazioni.

Livello Due. In questo livello superiore, vengono comminate multe per infrazioni più gravi da parte dei controllori e dei processori, come la violazione dei diritti del soggetto dei dati o delle condizioni del consenso. Le multe a questo livello sono di 20 milioni di euro o il 4% del fatturato globale annuo dell'azienda per l'anno finanziario precedente. Il livello due include violazioni delle seguenti disposizioni del GDPR:

• Principi fondamentali per l'elaborazione dei dati — Questo include regole generali per l'elaborazione dei dati (Articolo 5), liceità dell'elaborazione (Articolo 6), condizioni per il consenso (Articolo 7 e 8) e l'elaborazione di categorie speciali di dati sensibili (Articoli 9–11).
• Diritti degli interessati (Articoli 12–22) — Gli articoli definiscono numerosi diritti degli interessati che influenzano significativamente il modo in cui le organizzazioni possono conservare ed elaborare i dati personali. Esempi includono il diritto di confermare se i dati personali sono in fase di elaborazione (Articolo 15), il diritto di rettificare i dati personali inaccurati (Articolo 16), il diritto all'oblio (Articolo 17), il diritto alla limitazione del trattamento (Articolo 18), il diritto di trasmettere facilmente i dati ad altri responsabili del trattamento (Articolo 20) e il diritto di opporsi alle attività di trattamento dei dati (Articolo 21).
• Trasferimenti di dati personali (Articoli 44–50) — Il Capitolo 5 disciplina i trasferimenti di dati verso paesi terzi o organizzazioni internazionali. Questo include i principi generali sui trasferimenti di dati (Articolo 44), trasferimenti o divulgazioni non autorizzati dal diritto dell'UE (Articolo 48) e le norme sulla cooperazione internazionale per la protezione dei dati personali (Articolo 50).
• Ordini da autorità di controllo — Infine, le organizzazioni possono affrontare multe di secondo livello se non rispettano un ordine di un'Autorità di Controllo di limitare o sospendere l'elaborazione dei dati (Articolo 58).

Visualizza l'infografica (clicca sull'immagine per aprire una versione ad alta risoluzione in una nuova scheda)

C'è un compenso aggiuntivo per i soggetti dei dati?

Simile al DPD, il GDPR consente ai soggetti dei dati di richiedere danni monetari in tribunale ai controllori e ai processori che violano i loro diritti. Ciò include casi in cui le organizzazioni sono responsabili per una violazione dei dati, violano le disposizioni specifiche per i processori del GDPR o agiscono al di fuori delle istruzioni lecite di un controllore (Articoli 79 e 82).

Sommario

Oltre a imporre multe, le autorità di controllo dispongono di altri poteri correttivi in caso di non conformità, che includono l'emissione di avvertimenti e rimproveri, e — nei casi estremi — il divieto per l'organizzazione di elaborare dati personali (Articolo 58). Pertanto, le organizzazioni devono assicurarsi di avere politiche e procedure efficaci in atto per garantire il consenso esplicito, identificare e segnalare le violazioni, e conformarsi ad altre disposizioni del GDPR. È saggio iniziare prestando attenzione alle aree che impongono le sanzioni più elevate, seguendo le regole di base per un corretto trattamento dei dati e assicurandosi di non violare i diritti dei soggetti dei dati.

FAQ

Come vengono calcolate le multe del GDPR?

Le multe GDPR seguono una struttura a due livelli che possono essere pesanti: sanzioni amministrative fino a €10 milioni o il 2% del fatturato globale annuo per violazioni minori, e fino a €20 milioni o il 4% del fatturato globale per infrazioni più gravi. Ma ecco cosa conta più delle massime – i regolatori considerano dieci fattori specifici nel calcolare la tua effettiva penalità, inclusa la natura e la gravità dell'infrazione, se fosse intenzionale o per negligenza, e più importantemente, le misure tecniche e organizzative che avevi in atto per prevenirlo.

Il calcolo non è arbitrario. Le autorità valutano la tua collaborazione durante l'indagine, se hai notificato tempestivamente loro riguardo alle violazioni, e se hai preso misure per mitigare il danno agli individui interessati. Le aziende che dimostrano controlli robusti di identità e accesso, una corretta data classification, e procedure chiare di risposta alle violazioni di solito vedono riduzioni significative delle sanzioni. Data Security che inizia con l'identità non è solo una buona pratica – è la tua migliore difesa contro le multe massime quando le cose vanno male.

Qual è la massima multa per il GDPR?

La massima sanzione GDPR è di €20 milioni o il 4% del fatturato globale annuo totale della tua organizzazione dell'anno finanziario precedente, a seconda di quale sia maggiore. Questo livello si applica alle violazioni più gravi come la base legale inadeguata per l'elaborazione, la violazione dei principi di protezione dei dati o il mancato attuamento di adeguate misure di sicurezza tecniche e organizzative.

La soglia di €10 milioni o del 2% si applica a violazioni “minori” come il mancato mantenimento di registrazioni adeguate, il fallimento nel condurre valutazioni d'impatto, o il non nominare un Responsabile della Protezione dei Dati quando necessario. Ma non lasciatevi ingannare dalla parola “minori” – queste multe possono ancora devastare la maggior parte delle organizzazioni. La percezione fondamentale? I regolatori riducono costantemente le penalità per le aziende che possono dimostrare misure di sicurezza proattive, specialmente controlli basati sull'identità che mostrano che prendete sul serio la prevenzione dell'accesso non autorizzato ai dati personali.

Come evitare le multe del GDPR?

Evitare le multe GDPR inizia con il corretto riconoscimento dell'identità. La maggior parte delle sanzioni deriva dall'accesso non autorizzato ai dati personali, il che significa che la tua prima linea di difesa consiste nell'implementare controlli di accesso least privilege access e mantenere una chiara visibilità su chi può accedere a quali dati, quando e perché. Non puoi proteggere ciò che non vedi e non puoi controllare ciò che non monitori.

Costruisci la tua strategia di difesa attorno a tre pilastri: misure di sicurezza tecnica (crittografia, controlli di accesso, monitoraggio), processi organizzativi (formazione del personale, piani di risposta agli incidenti, audit regolari) e documentazione che dimostri la conformità. Quando si verificano violazioni – e accadrà – avere capacità di rilevamento e risposta automatica alle violazioni può significare la differenza tra una sanzione minore e una multa massima. I regolatori guardano con favore alle organizzazioni che possono dimostrare di aver investito in un'adeguata infrastruttura di sicurezza e di poter rispondere rapidamente per contenere i danni.

L'approccio più efficace collega l'Identity Management alla protezione dei dati. Implementare controlli di accesso basati sui ruoli, revisioni regolari degli accessi e provisioning automatizzato che garantisce alle persone l'accesso solo ai dati personali di cui hanno bisogno per il loro lavoro. Non si tratta solo di conformità – è questione di costruire una sicurezza che funziona realmente nella pratica, non solo sulla carta.

Quali multe possono essere imposte in base al GDPR?

Il GDPR consente agli enti regolatori di imporre sanzioni amministrative su due livelli, ma il regolamento offre loro un'ampia discrezionalità nell'applicazione delle penalità. Le violazioni di Livello 1 possono comportare multe fino a €10 milioni o il 2% del fatturato globale annuo e coinvolgono tipicamente fallimenti procedurali come la mancanza di adeguata tenuta dei registri, avvisi sulla privacy mancanti o la mancata conduzione delle valutazioni di impatto richieste.

Le violazioni di livello 2 comportano sanzioni che attirano l'attenzione fino a €20 milioni o il 4% del fatturato globale e si concentrano su fallimenti fondamentali nella protezione dei dati: trattamento senza base legale, violazione dei principi fondamentali della protezione dei dati o implementazione di misure di sicurezza tecniche e organizzative inadeguate. Ma ecco cosa non riportano i titoli – i regolatori considerano anche misure correttive come divieti temporanei di trattamento, requisiti di audit e mandati di certificazione che possono essere altrettanto destabilizzanti per la tua attività.

La tendenza effettiva nell'applicazione mostra che i regolatori si concentrano sempre più su fallimenti tecnici di sicurezza, in particolare riguardo ai controlli di accesso e alla risposta alle violazioni. Le organizzazioni che possono dimostrare programmi di gestione di identità e accesso completi, con percorsi di verifica chiari e capacità di risposta automatizzate, ricevono costantemente sanzioni minori anche quando si verificano violazioni. Il messaggio è chiaro: investire in un'adeguata infrastruttura di sicurezza che inizia con l'identità, e i regolatori lo noteranno.

Qual è la multa per il mancato rispetto del GDPR?

Il mancato rispetto del GDPR può innescare l'intera gamma di sanzioni: multe fino a 20 milioni di euro o il 4% del fatturato globale, divieti di trattamento che interrompono le operazioni aziendali, audit obbligatori che consumano risorse per mesi e ordinanze correttive che costringono a costose revisioni dei sistemi. Ma la sanzione finanziaria è spesso solo l'inizio – il vero costo deriva dalla interruzione dell'attività, dal danno alla reputazione e dall'onere operativo della rimediazione.

I dati recenti sull'applicazione dimostrano che la "non conformità" non è binaria. I regolatori distinguono tra organizzazioni che compiono sforzi in buona fede per conformarsi e quelle che ignorano completamente i loro obblighi. Le aziende con programmi di sicurezza documentati, anche se non perfetti, di solito affrontano misure correttive piuttosto che multe massime. Quelle senza salvaguardie tecniche di base – controlli adeguati dell'accesso, rilevamento delle violazioni o capacità di risposta agli incidenti – subiscono l'intera struttura delle penalità.

La realtà pratica è che la conformità non riguarda la perfezione; si tratta di dimostrare uno sforzo sistematico per proteggere i dati personali attraverso misure tecniche e organizzative appropriate. I regolatori premiano costantemente le organizzazioni che possono dimostrare di aver implementato controlli di sicurezza basati sull'identità, mantenere tracce di verifica adeguate e rispondere rapidamente quando si presentano problemi. La sicurezza dei dati che inizia con l'identità non è solo teatro di conformità – è il fondamento di un programma GDPR difendibile.