lunedì 29 ottobre 2018

Le sanzioni amministrative ai sensi del GDPR


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy
 

Anche in pubblicazioni di carattere specialistico, è facile leggere che le sanzioni erogate dal Garante per la protezione dei dati personali, sono la conseguenza di una violazione della Privacy. Dobbiamo essere precisi quasi al punto della pignoleria: la violazione della privacy è un’illecita intromissione o interferenza nella sfera privata di una persona e trova le sue sanzioni nella possibilità di chiedere il risarcimento del danno e, nei casi più gravi, l’applicazione dell’art. 612 bis Codice Penale, che punisce gli atti persecutori: il cosiddetto stalking. Quelle che erroneamente vengono definite sanzioni per violazione della privacy ai sensi del GDPR, sono in realtà le conseguenze di una violazione dei doveri derivanti dal trattamento dati personali.
Ferme restando le sanzioni penali nelle ipotesi disciplinate dalle normative nazionali e la possibilità per chiunque abbia subito danni da una gestione non corretta dei dati personali di agire in sede civile, la normativa europea prevede pesanti sanzioni amministrative che si trovano già nei “considerata” iniziali nei quali si specifica come queste misure abbiamo una loro ragione anche per garantire una tutela dati cogente e uniforme nell’intera Unione. In tal senso, al punto 129, si prevede anche che le autorità di controllo dovrebbero (ma forse è più opportuno leggerlo “devono”) avere gli stessi compiti e poteri effettivi sia in attività istruttoria a seguito di segnalazioni, sia nell’erogazione delle sanzioni; tutto meglio indicato nell’art. 58.

In ogni caso, all’articolo 82 del Regolamento, vengono indicati i criteri generali per l’erogazione delle sanzioni che si ispirano a canoni di proporzionalità e commisurazione alle singole violazioni, ma nel comma 4 sono indicati chiaramente gli importi delle stesse: fino a 10.000.000,00 o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 
È intuitivo e probabilmente logico che simili importi siano destinati, anche con finalità di prevenzione, alle grandi aziende che trattano dati personali, primi tra tutti i social network. Ma allo stesso modo, salvo l’applicazione al caso concreto, è ovvio che in una norma di così ampia portata, non possano essere previste sanzioni modulate o differenziate. In sintesi, almeno sulla carta, un piccolo negoziante che invia la sua mailing list di offerte, è equiparato totalmente a Google o Facebook.
Le ipotesi di erogazione delle sanzioni sono ovviamente un numero aperto e indefinito. A titolo esemplificativo possiamo indicare:
  • la violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione; 
  • il trattamento illecito di dati personali che non richiede l’identificazione dell’interessato; 
  • mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente; la violazione dell’obbligo di nomina del DPO e la mancata applicazione di misure di sicurezza. 
Inoltre gli importi sopra indicati si “limitano” a raddoppiare nelle ipotesi espressamente indicate al successivo comma 5 per le fattispecie più gravi quali, ad esempio, la trasmissione di dati ad un paese terzo e la violazione dei principi di base del trattamento ivi comprese le condizioni relative al consenso.


Non semplice quindi il lavoro del Garante che, oltre a doversi occupare di situazioni macroscopiche come quelle che, recentemente, hanno coinvolto Facebook, corre il concreto rischio di vedersi sommergere da ricorsi di moltissimi Interessati (vale a dire i singoli utenti i cui dati sono oggetto di trattamento) che potranno lamentare violazione parte dei soggetti Responsabili alle attività di trattamento.
A questo quadro, già sufficientemente complesso, dobbiamo aggiungere che il Garante vede, tra i suoi compiti anche quelli di prevedere misure quali la sospensione all’autorizzazione del trattamento dati e altre misure preventive o precauzionali che sicuramente già hanno per privati ed aziende una valenza afflittiva. È innegabile, come correttamente rilevato dal disciolto Gruppo di Lavoro Articolo 29, che l’esercizio dei poteri sanzionatori da parte di autorità diverse e in contesti decisamente dissimili, possa sollevare obiezioni ed impugnazioni dinanzi ai tribunali nazionali. Mediante la collaborazione tra le diverse autorità di controllo europee e la Commissione, organo esecutivo dell’Unione, sarà tuttavia possibile ottenere un approccio armonizzato alle sanzioni amministrative. La giurisprudenza europea emergente e lo scambio attivo di informazioni tra le diverse autorità potrà, quindi, condurre alla rivisitazione dei princìpi e delle regole che disciplinano questa normativa e questa materia in continua evoluzione.

Nessun commento:

Posta un commento