di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy
Il regolamento Europeo 679/2016 che ha riformato a livello sovranazionale il sistema di trattamento dei dati personali, ha anche previsto norme rafforzative per i poteri deputati a far rispettare la nuova disciplina. Titolari e responsabili del trattamento hanno maggiori responsabilità che non nel previgente sistema in quanto soggetti demandati alla materiale tutela dei diritti degli interessati che, anche ai fini interpretativi e di comprensione, sono la figura al centro del sistema GDPR. Hanno inoltre un ruolo centrale anche le pesanti sanzioni che possono essere emesse dalle autorità di controllo, cui spettano anche le misure di cui all’art. 58 (richieste di informazioni, potere di indagine, misure interdittive e, addirittura limiti e perfino il divieto di svolgere attività di trattamento).
Consapevole della delicatezza e dell’importanza del ruolo che andranno a svolgere gli organi di vigilanza, il Gruppo dell’art. 29 (organismo consultivo ormai disciolto, composto da rappresentanti delle autorità nazionali) ha predisposto, nell’Ottobre 2017, le linee guida che dovranno essere seguite proprio nell’emissione delle sanzioni.
Il documento programamtico del Gruppo 29
Il documento programamtico del Gruppo 29
Si tratta di un documento programmatico di cui dovranno tenere conto le autorità nazionali, specialmente nella prima fase di applicazione della norma ed emissione sanzioni: un accorgimento per evitare che alcuni stati emettano sanzioni molto rigide e altri invece dimostrino più elasticità, con il rischio che alcune aziende, specialmente quelle di grandi dimensioni o la cui attività principale sia trattamento dati, possano trasferire le loro sedi.
Il Gruppo ha previsto in primo luogo il principio di SANZIONI EQUIVALENTI. Sulla base del considerando 10 del Regolamento, che offre una base più solida rispetto alla direttiva 95/46/CE, i singoli Stati, grazie alla collaborazione e cooperazione, dovrebbero applicare le sanzioni in maniera quanto più possibile uniforme tra loro, pur nella loro piena indipendenza. Le sanzioni dovrebbero essere inoltre EFFETTIVE, PROPORZIONATE e DISSUASIVE. Il senso di questo punto è intuitivo: le sanzioni devono essere commisurate in concreto alla natura, la gravità e le conseguenze della violazione. Detta valutazione deve essere effettuata oggettivamente sulle circostanze di ogni singolo caso e permettere di ripristinare il rispetto delle norme e, in caso, commisurare le sanzioni, anche in termini dissuasivi.
Il combinato disposto dell’art. 43 e di vari “considerando” (es. 141, 129), determinerà in ogni caso di violazione una valutazione personalizzata alla stessa e al soggetto responsabile. Peraltro il Gruppo 29 indica espressamente che le sanzioni pecuniarie non devono essere extrema ratio, ma la loro efficacia non deve essere sminuita.
Il Gruppo 29 insiste a più riprese sull’importanza della ARMONIZZAZIONE e della PERTECIPAZIONE ATTIVA delle singole autorità di controllo e lo SCAMBIO DI INFORMAZIONI, dando atto che una corretta attività in tal senso, potrebbe portare anche a revisioni in senso migliorativo del sistema e della sua applicazione.
In relazione alla concreta applicazione dell’art. 83, che disciplina le modalità e i criteri da applicare nell’erogazione delle sanzioni, il documento del Gruppo 29 indica agli organi di vigilanza linee guida che tengano conto non solo della gravità e durata delle violazioni, ma anche se vi sia nel singolo caso una maggiore o minore necessità di reazione e la misura della sanzione stessa che, ricordiamo, può giungere a venti milioni di euro o al 4% del fatturato complessivo di un’azienda. Dato poi atto che il considerando 148 parla di sanzioni minori, l’autorità di controllo potrà in tali casi limitarsi ad avvertimenti o altre forme di intervento meno afflittive. La reazione effettiva, proporzionata e dissuasiva a una violazione dell’articolo 83, paragrafo 5, dipenderà pertanto da tutte le circostanze del caso ivi compresi, ad esempio, il numero dei dipendenti o degli interessati coinvolti, le finalità del trattamento e la realtà territoriale. Nella valutazione dovranno essere adeguatamente considerate le misure di sicurezza poste in essere dai responsabili, le intensità di eventuali dolo o colpa e le responsabilità individuali.
In sintesi il garante dovrà svolgere in maniera molto più capillare il proprio ruolo di giudice delle violazioni e, all’esito della necessaria ed indispensabile attività istruttoria, costruire vere e proprie sentenze motivate che giustifichino il suo operato e la decisione presa.
Conclude il Gruppo rilevando come “la pratica di applicare sanzioni amministrative pecuniarie coerentemente all’interno dell’Unione europea è una pratica in via di evoluzione. Le autorità di controllo dovrebbero collaborare costantemente per aumentare tale coerenza, ad esempio tramite regolari scambi durante seminari sul trattamento dei casi o altri eventi che consentano di confrontare i casi a livello sub-nazionale, nazionale e transfrontaliero.”
Raccomanda pertanto la creazione di un gruppo permanente annesso al comitato europeo per la protezione dei dati.
Raccomanda pertanto la creazione di un gruppo permanente annesso al comitato europeo per la protezione dei dati.
Nessun commento:
Posta un commento