Sanzioni GDPR e violazioni privacy: cosa rischiano siti web e ecommerce

sanzioni gdpr violazioni privacy spiegate da ecommerce legale

Possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuo: oggi parliamo delle sanzioni GDPR per la violazione della privacy.

Durante il lavoro mi capita spesso di incontrare merchant impreparati sul Regolamento Europeo sulla Protezione dei dati personali (GDPR).  Eppure qualsiasi sito web o e-commerce tratta i dati personali degli utenti, dal momento in cui questi effettuano l’accesso al sito di vendita online, fino alla conclusione del processo d’acquisto, attraverso i Cookie, l’invio di newsletter, la raccolta e il trattamento dei dati relativi ai clienti.

Violare le norme sulla Protezione dei dati personali, tuttavia, può avere ripercussioni pesanti su qualsiasi impresa: il Garante può comminare sanzioni pecuniarie o sanzioni penali a seconda della gravità della violazione.

Quando scattano le sanzioni previste dal GDPR?

Quali sono le violazioni privacy che possono essere contestate al titolare del sito e-commerce?

Cosa bisogna fare per essere in regola?

In questo articolo risponderò a tutti i tuoi dubbi sulle sanzioni previste dal GDPR e ti spiegherò come avere un sito e-commerce a norma.

Sanzioni GDPR 2023: dati sulla violazione privacy

Sebbene non siano stati particolarmente pubblicizzati, negli ultimi anni gli interventi del Garante Privacy sono stati numerosi sia in Italia che nel resto dell’Europa: dall’entrata in vigore del GDPR nel 2018, le sanzioni sono arrivate a 4,68 miliardi di euro nel 2023.

L’anno della svolta è stato il 2022, in cui le multe sono praticamente raddoppiate rispetto all’anno precedente. Anche se, pensando alle sanzioni più alte mai comminate per la violazione delle norme sul trattamento dei dati personali, il record è stato raggiunto dalla maxi multa inflitta a Meta: 1, 2 miliardi di euro. Alla società proprietaria di Facebook, il Garante Privacy Irlandese ha contestato il trasferimento illecito di dati personali verso paesi terzi (USA).

Il paese in cui sono state irrogate il maggior numero di sanzioni per il mancato rispetto del GDPR dall’entrata in vigore del Regolamento è stata l’Irlanda, con 2,2 miliardi di sanzioni.

Il nostro si posiziona al quarto posto dopo Irlanda, Lussemburgo e Italia per il numero di sanzioni, con 546 milioni di sanzioni inflitte per violazione del GDPR.

Come puoi salvaguardare il tuo e-commerce dalle sanzioni per violazione del GDPR?

Te lo spiego nei prossimi paragrafi. 

Quando scattano le sanzioni previste dal GDPR

Le sanzioni previste dal GDPR riguardano la violazione delle norme sulla protezione dei dati personali di una persona fisica, cioè tutte quelle informazioni che rendono la persona riconoscibile o identificabile.

Il GDPR è nato con lo scopo di responsabilizzare le aziende e i professionisti su 3 aspetti relativi ai dati personali: 

  • la raccolta
  • l’uso
  • e la conservazione dei dati

Oltre a questi adempimenti, compito del Garante è di verificare la nomina del DPO, le azioni messe in conto in caso di data breach, la compilazione del registro dei trattamenti. 

Chi effettua gli accertamenti?

Le attività di controllo, in genere, vengono effettuate dal Nucleo Privacy della Guardia di Finanza che si rapporta continuamente con l’Autorità Garante per la protezione dei dati personali.

Il lavoro avviene in maniera coordinata tra le due istituzioni che, attraverso un protocollo d’intesa, verificano che non ci siano violazioni privacy.

Le sanzioni GDPR possono essere indirizzate al titolare del trattamento o al responsabile del trattamento.

Ammontare della sanzione: cosa prende in considerazione l’Autorità per stabilirlo

Nel GDPR non viene stabilito un importo minimo dal quale partire per calcolare l’ammontare delle multe, la normativa fissa un importo totale che non può essere superato.

Ma si prevede che le sanzioni siano effettive, proporzionate e dissuasive

E allora come si calcola l’ammontare delle sanzioni per il GDPR?

Innanzitutto bisogna sottolineare che le sanzioni non possono essere simboliche, ma proporzionate alla violazione.

In ogni caso, l’articolo 83 del GDPR elenca i criteri che vanno tenuti in considerazione per valutare l’entità della sanzione:

  • la natura, la gravità e la durata della violazione;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento;
  • precedenti violazioni del GDPR;
  • categorie di dati personali violate;
  • esistenza di aggravanti o attenuanti applicabili.

Per quanto riguarda le sanzioni GDPR per l’ecommerce, è fondamentale sapere che vengono considerate particolarmente gravi le violazioni privacy relative a:

  • principi base del trattamento, comprese le condizioni relative al consenso;
  • diritti dell’interessato;
  • il trasferimento dei dati personali a destinatari in un paese terzo o a un’organizzazione internazionale.

Le sanzioni previste per la violazione della Privacy

Il GDPR prevede diverse misure per la mancata compliance della Privacy:

  • correttivi
  • sanzioni amministrative pecuniarie
  • sanzioni penali
  • sanzioni civili

Vediamo cosa comportano.

Sanzioni GDPR: correttivi

Il Garante della Privacy può decidere di emettere dei provvedimenti correttivi nei confronti del Titolare o del Responsabile del trattamento, in aggiunta o meno alle sanzioni pecuniarie.

I provvedimenti correttivi possono essere di diverso tipo: si va dagli avvertimenti, sino al divieto di trattare determinati dati personali, oppure all’ingiunzione di cancellarli.

Queste sanzioni, però, sono da temere anche più delle sanzioni pecuniarie, perché possono addirittura costringere a modificare il modello di business o la supply chain. 

Un esempio per capire. 

Immaginiamo un e-commerce che ha un fornitore in un paese extraeuropeo (es. Cina), a cui trasmette i dati personali dei suoi clienti per far spedire gli ordini. 

Un provvedimento sanzionatorio correttivo che vieta il trasferimento dei dati in quel paese, obbliga di fatti l’e-commerce a rivolgersi ad altri fornitori (supply chain stravolta), e deve rispondere anche delle responsabilità che ha nei confronti dei suoi clienti, con cui si è obbligato contrattualmente (responsabilità contrattuale).

Sanzioni GDPR: sanzioni amministrative pecuniarie

Tra le novità più importanti introdotte dal GDPR vi è anche l’aumento delle sanzioni pecuniarie

Il Regolamento europeo sul trattamento dei dati personali prevede due gruppi di sanzioni, a seconda della gravità delle violazioni privacy:

  1. violazioni di minore gravità: sanzione fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente.
  2. violazioni di maggiore gravità: fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente.

Ecco alcuni esempi:

Nel primo caso rientrano la mancata comunicazione di data breach e l’omissione di nomina del DPO.

Le violazioni privacy più gravi riguardano l’uso dei dati senza consenso al trattamento, omessa o inadeguata informativa privacy, la violazione dei diritti degli interessati.

 A questi, poi, si aggiungono le sanzioni pecuniarie previste dal Codice Privacy italiano.

Sanzioni GDPR: sanzioni penali

Il Codice Privacy, il D.Lgs. 196/2003, prevede anche sanzioni penali, nei casi di violazioni più gravi della normativa privacy e che si aggiungono a quelle pecuniarie.

 Le sanzioni previste sono:

  • trattamento illecito dei dati: reclusione dai 6 mesi ai 3 anni;
  • comunicazione dei dati personali raccolti per il trattamento in larga scala: reclusione da 1 a 6 anni;
  • acquisizione di dati personali raccolti per il trattamento su larga scala effettuata in modo fraudolento: reclusione da uno a quattro anni;
  • rilascio di dichiarazioni false al Garante: reclusione da 6 mesi a 3 anni;
  • mancato rispetto dei provvedimenti stabiliti dal Garante: reclusione da 3 mesi a 2 anni.

Sanzioni GDPR: sanzioni civili

Tra le conseguenze previste, c’è anche la responsabilità civile e il risarcimento danni nei confronti della persona lesa.

La sanzione civile può essere aggiunta alla sanzione penale e comprende sia i danni materiali che quelli immateriali.

Conclusioni

Un sito e-commerce tratta tantissimi dati personali, e le sanzioni per violazione della normativa privacy sono tra le più rischiose, perché possono costare care in termini economici, di reputazione e dell’intero business online.

Molti si rivolgono allo studio Ecommerce Legale per adeguare il sito e-commerce al GDPR.

Se non vuoi correre rischi per la violazione della privacy, usa il form dei contatti e affidati ad un legale specializzato in privacy.

Floriana Capone
L’Avvocato dell’Ecommerce
POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!