Tutti conoscono ormai le nuove sanzioni privacy introdotte dal GDPR e ne sono ben noti i massimali (sino a 10 e 20 milioni di Euro, a seconda dei casi), ma meno si parla delle modalità di accertamento e delle possibili conseguenze, che non necessariamente sono solo sanzionatorie.
La disciplina trova fonte nel Reg. UE 679/16 (c.d. GDPR), per quanto riguarda le sanzioni in generale, e nel cosiddetto Codice della Privacy[efn_note]D.Lgs 196/03[/efn_note], riformato e modificato dal recente D.Lgs 101/18, riguardo alle modalità di accertamento e controllo da parte della nostra autorità Garante, nonché in ordine agli illeciti penali.
Vediamo dunque come il sistema sanzionatorio è mutato.
Le violazioni sulla privacy e relative sanzioni:
illeciti amministrativi, illeciti penali e danni
Il GDPR dispone che ogni soggetto coinvolto debba attenersi alle disposizioni impartite dal Regolamento stesso e da quelle nazionali per evitare le sanzioni ed i danni che posso derivare dal suo mancato integrale rispetto, e dunque a seguito di trattamento illecito e di violazione dei dati personali trattati.
Le sanzioni possono raggiungere i 10 milioni di Euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:
Trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
Mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
Mancata applicazione di misure di sicurezza.
L’importo delle sanzioni può salire addirittura fino a 20 milioni di Euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa nei casi di, sempre a titolo esemplificativo:
- mancata informativa;
- inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
- trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo
I criteri di applicazione delle sanzioni
Le sanzioni, comunque, dovranno essere applicate con discrezionalità, verificata la sussistenza di alcuni criteri, previsti dall’art. 83 GDPR, tra cui:
“la natura, gravità e durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito”;
“il carattere doloso o colposo della violazione”;
“le misure adottate dal titolare del trattamento o dal responsabile per attenuare il danno subito dagli interessati”
“il grado di responsabilità del titolare del trattamento o del responsabile del trattamento, tenendo conto delle misure tecniche e organizzative messe in atto ai sensi degli articoli 25 e 32”
“il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi”.
È dunque evidente che, nella valutazione della sanzione da applicare (e così del suo ammontare) a fronte di trattamento illecito o violazione, avrà netta incidenza l’esistenza di una conseguenza lesiva o meno verso gli interessati, e così la gravità del danno subito, nonché la sussistenza di misure poste in essere dal titolare/responsabile volte a scongiurare ogni danno o finalizzate a limitarlo e/o rimuoverlo.
Altro elemento di valutazione è dato dalla modalità con cui l’Autorità Garante viene a conoscenza della violazione dei dati personali, e dunque, in particolare, se è stata rispettata la procedura di c.d. data breach[efn_note]art. 33 GDPR[/efn_note], che impone al titolare/responsabile la notifica al Garante entro e non oltre 72 ore dal momento in cui si ha conoscenza della violazione.
Se la violazione è suscettibile di presentare un rischio elevato per diritti e libertà delle persone fisiche, il titolare del trattamento, senza ingiustificato ritardo e con linguaggio chiaro e semplice, comunica la violazione dei dati personali all’interessato[efn_note]ex art. 34 GDPR[/efn_note], salvo che ricorra una delle seguenti condizioni:
- siano state adottate misure tecniche e organizzative adeguate, tra cui in particolare la cifratura dei dati;
- siano state adottate, anche successivamente, misure idonee a scongiurare un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione diretta all’interessato comporterebbe sforzi sproporzionati: in tal caso si potrà procedere con una comunicazione pubblica o similare, purché analogamente efficace.
Gli illeciti penali
Il decreto legislativo n. 101/2018 ha rivisitato la nostra normativa interna (contenuta nel c.d. Codice della Privacy) ed anche riordinato gli illeciti penali, che, in breve, puniscono quelle fattispecie di:
- trattamento illecito di dati personali o trasferimento fuori UE dei dati (art. 167);
- comunicazione e diffusione illecita di dati personali contenuti in un archivio automatizzato oggetto di trattamento su larga scala (art. 167 bis);
- acquisizione fraudolenta di dati personali contenuti in un archivio automatizzato oggetto di trattamento su larga scala (art. 167- ter);
- falsità nelle dichiarazioni al Garante (nel corso di un procedimento o di un accertamento) e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168);
- inosservanza di provvedimenti, speciali o generali, adottati dal Garante (art. 170);
- violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 171), che rinvia all’art. 4, commi 1 (impianti audiovisivi per finalità di controllo) e 8 (divieto di indagini sulle opinioni politiche, religiose, sindacali, etc.), dello Statuto dei Lavoratori, ed alle sanzioni di cui all’art. 38 Statuto dei Lavoratori.
Si osserva che gli illeciti sopra indicati ai numeri 1, 2, 3 e 4 risultano tutti caratterizzati dalla volontarietà della condotta, che deve essere volta a conseguire un profitto o arrecare un danno, o comunque a rendere false informazioni al Garante o a turbarne l’attività, nel corso di un accertamento o di un procedimento.
Con riferimento invece ai danni, è possibile che un errato trattamento possa causare ai terzi interessati danni patrimoniali e non patrimoniali, che, a seconda dei casi e delle responsabilità, dovranno essere risarciti dal titolare o dal responsabile del trattamento.
Infatti è possibile che da un non corretto trattamento dati possano verificarsi:
perdite patrimoniali;
danni alla reputazione;
discriminazione;
furto d’identità;
impossibilità di esercitare diritti, servizi o opportunità;
altri svantaggi economici e sociali;
perdita del controllo dei dati;
danni fisici o psicologici .
Non vi è comunque un automatismo tra un illegittimo trattamento ed obbligo al risarcimento, in quanto l’onere di dimostrare l’effettivo verificarsi del danno spetta sull’interessato, che processualmente dovrà attenersi al rispetto degli ordinari principi dell’onere della prova.
Ma anche se il danno non si verifica, in caso di trattamento non conforme al GDPR è possibile che il titolare/responsabile sia in ogni caso soggetto a sanzioni amministrative, ricorrendone i presupposti. Tuttavia, come detto, le sanzioni possono essere evitate qualora sia dimostrato che il titolare/responsabile abbia posto in essere tutte quelle opportune cautele volte a limitare il più possibile rischio, in rapporto al tipo di dato trattato, alle conseguenze stimate, al comportamento tenuto, etc.
Approfondiremo in seguito le modalità e le procedure di accertamento e di applicazione delle sanzioni, nonché la tutela amministrativa e giurisdizionale prevista.
Contattaci per richiedere una valutazione della tua situazione