Dolo significa volontà, intenzionalità della condotta. Il dolo si può desumere da alcune circostanze esterne. Tra le circostanze indicanti il carattere doloso di una violazione, i garanti europei (WP29) hanno inserito il trattamento illecito autorizzato esplicitamente dall'alta dirigenza del titolare del trattamento oppure effettuato nonostante i pareri del responsabile della protezione dei dati o ignorando le politiche esistenti, per esempio ottenendo e trattando dati relativi ai dipendenti di un concorrente con l'intento di screditare tale concorrente sul mercato.
Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all'ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un'autonoma responsabilità della persona giuridica. Cioè risponde l'ente e non un trasgressore persona fisica.
Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.
Al termine di un’indagine durata ben 6 anni, la Commissione irlandese per la protezione dei dati ha annunciato di aver inflitto una sanzione da 310 milioni di euro a Linkedin, nota la piattaforma social dedicata al mondo del lavoro, per violazioni del Gdpr, in particolare riguardo le modalità di ottenimento del consenso, liceità, equità e trasparenza del trattamento dei dati personali degli utenti.
La SDPI, l'ispettorato statale per la protezione dei dati (una delle due autorità di controllo presenti in Lituania) responsabile del monitoraggio dell'applicazione del Gdpr e della legge sulla protezione dei dati, ha erogato una sanzione di 15.000 euro all’amministrazione Comunale di Vilnus.La sanzione è stata inflitta a causa della mancanza di misure tecniche ed organizzative adeguate nel trattamento dei dai relativi ad un minore adottato.
Privacy Ue a tinte tricolori. Il decreto legislativo di armonizzazione dell'ordinamento italiano al Regolamento Ue 2016/679 (operativo dal 25 maggio 2018) ripesca nella sostanza gran parte del Codice della Privacy (dlgs 196/2003), che formalmente è abrogato per intero. Passano il guado, tra gli altri, i regolamenti privacy per i dati sensibili del settore della pubblica amministrazione, le norme di tutela delle società e persone giuridiche contro le telefonate indesiderate; previsti, infine, sconti sulle sanzioni amministrative per le violazioni amministrative del vecchio codice.
La competente autorità di controllo per la protezione dei dati ha comminato una multa record da 746 milioni di euro ad Amazon per violazioni della privacy correlate alle sue pratiche pubblicitarie. Si tratta della sanzione più alta in assoluto da quando è stato introdotto il Gdpr, che da sola ammonta a più del doppio dei 307 milioni di euro di sanzioni che erano state complessivamente irrogate lo scorso anno.
L’European Center for Digital Rights dell'organizzazione non-profit noyb.eu fondata dall'attivista Max Schrems, ha pubblicato la relazione sulle proprie attività svolte lo scorso anno: oltre alla presentazione di oltre 40 nuove denunce, il 2023 è stato un anno di varie decisioni di rilievo in casi perorati da noyb che hanno portato a diverse sanzioni significative.
L' Agenzia spagnola per la protezione dei dati ha inflitto una multa di 200.000 euro agli ospedali HM per aver violato le norme sulla protezione dei dati personali sulle cartelle cliniche elettroniche dei pazienti, dopo che un ex dipendente aveva denunciato carenze nel sistema informativo ospedaliero utilizzato da tutti i centri del gruppo.
Le informazioni contenute in registri pubblici, liberamente consultabili dai professionisti nell’ambito della propria attività, non possono essere così utilizzate per attività promozionali. Il principio di finalità (o di limitazione della finalità) significa per i professionisti e per le aziende che il trattamento dei dati personali deve essere effettuato per una finalità specifica e ben definita e solo per scopi ulteriori, specifici e compatibili con la finalità iniziale.
