La progressività delle sanzioni privacy

Il GDPR è diventato “famoso” (ed in parte temuto) anche grazie alle nuove, pesanti sanzioni che introduce. Limitarsi però a considerare solo esse è sbagliato: il Regolamento dà alle autorità di controllo (l’Autorità Garante per i dati personali, in Italia), altre opzioni; inoltre il Codice Privacy, così come novellato a settembre 2018, mantiene per l’Italia anche le sanzioni penali.

Primo livello: correzioni

Il secondo comma dell’art. 58 del GDPR prevede una serie di poteri cosiddetti correttivi per le Autorità di Controllo: in particolare, le lettere a. (avvertimenti), b. (ammonimenti) e c., d., e., g. (ingiunzioni) permettono al Garante di intervenire in modo “morbido” in quesi casi in cui le aziende o gli enti hanno configurato (o stanno per configurare) i propri trattamenti in modo errato, magari evitando le sanzioni più pesanti che vedremo dopo. Ciò nonostante, non vuol dire che conformarsi alle correzioni richieste del Garante sia necessariamente a costo nullo: l’implementazione di misure di sicurezza aggiuntive, o la riorganizzazione dei trattamenti, facilmente avranno impatti in termini di costi aggiuntivi da sostenere.

Secondo livello: interdizioni

Qualora i trattamenti non siano corregibili, perché sostanzialmente irregolari, la lettera f. del suddetto comma 2 prevede la possibilità di interdire (“limitare”) provvisoriamente o definitivamente il trattamento, mentre la lettera j. di sospendere un trasferimento di dati personali verso paesi terzi o organizzazioni internazionali. In questo caso, il danno per l’azienda deriva dai mancati introiti derivanti dall’impossibilità di eseguire il trattamento o il trasferimento in questione, che corrisponde a non poter erogare un servizio.

Terzo livello: sanzioni pecuniarie

In caso di trattamenti con significative irregolarità, il Regolamento prevede azioni più incisive da parte del Garante: in pratica, le notissime sanzioni pecuniarie (lettera i. dell’art. 58, che rimanda all’art. 83), più eventuali sanzioni accessorie (come la pubblicazione del provvedimento).

L’art. 83 definisce i dattagli. Intanto il comma 1 esplicita il principio che la sanzione pecuniaria deve essere effettiva, proporzionata, dissuasiva. Il comma 2 esplicita i criteri che concorrono al suo calcolo (natura, gravità e durata; colpa o dolo; eventuali misure adottate per diminuire l’impatto sugli interessati; etc). I commi 4 e 5 definiscono i limiti superiori delle sanzioni ed a quali tipi di violazioni si riferiscono: nel primo caso (violazioni considerate meno gravi) il limite è il più grande tra 10 milioni di euro ed il 2% del fatturato globale annuo; nel secondo caso (violazioni più gravi) il limite è il più grande tra 20 milioni di euro ed il 4% del fatturato globale annuo. Non c’è un limite inferiore, il che vuol dire che, grazie al principio di proporzionalità del comma 1, in teoria per realtà molto piccole la sanzione potrebbe risultare ridicola in termini assoluti, ma dovrebbe comunque risultare significativa in termini relativi.

In questo caso, il danno economico è diretto, ma in caso di sanzioni accessorie si hanno anche possibili danni di immagine.

Da notare che il comma 9 dell’art. 166 del Codice Privacy prevede la possibilità di riduzione della sanzione, nella misura della metà, se ci si adegua alle prescrizioni del Garante entro il termine per il ricorso (30 giorni).

Quarto livello: sanzioni penali

In questo caso non è il Regolamento a definire le sanzioni penali, ma il Codice Privacy. Gli articoli sono i seguenti:

Art. 167. Trattamento illecito di dati
Art. 167-bis. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
Art. 167-ter. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
Art. 168. Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante
Art. 170. Inosservanza di provvedimenti del Garante
Art. 171. Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori

I titoli degli articoli sono sufficientemente autoesplicativi per una prima idea delle violazioni che hanno ripercussioni penali.

È bene ricordare che in Italia la responsabilità penale è sempre personale; quindi il procedimento penale (ovviamente compito dell’autorità giudiziaria, non del Garante, che però può/deve effettuare la segnalazione) sarà diretto ai soggetti dell’azienda/ente direttamente coinvolti nell’illecito. Questo almeno finchè non verranno introdotti gli illeciti in materia di protezione dei dati personali tra quelli definiti nel D.Lgs. 231/01 relativo alla responsabilità amministrativa delle aziende.

La non esclusività delle sanzioni

Il comma 2 dell’art.83 del Regolamente prevede esplicitamente la possibilità (da valutare per ogni caso nella sua specificità) di comminare più tipologie di sanzioni: per cui, per esempio, nei casi più gravi potrà essere prevista sia la sanzione pecuniaria che un provvedimento correttivo e/o interdittivo.

Così come nulla vieta la simultanea applicazione di sanzioni amministrative e penali (purchè non in contrasto col principio del ne bis in idem, cioè che non si venga giudicati più volte per lo stesso reato). In quest’ultimo caso però è previsto che la sanzione pecuniaria amministrativa possa andare a diminuire l’eventuale pena pecuniaria penale.

Il risarcimento del danno

Parallelamente alle sanzioni, gli interessati hanno la possibilità di ottenere il risarcimento del danno, sia materiale che immateriale (art. 82 del Regolamento). Il Codice Privacy (art. 152) specifica che l’azione va promossa verso l’autorità giudiziaria ordinaria, e non verso il Garante. A seconda dei casi, Titolare e Responsabile del Trattamento entrambi responsabili del danno, possono essere chiamati al risarcimento “in solido” per l’intero ammontare del danno (comma 4 dell’art. 82 del Regolamento), fermo restando poi il diritto di rivalsa verso gli altri responsabili (comma 5).

In conclusione

Per riassumere, i rischi prescrittivi o sanzionatori a cui è sottoposto in Italia un qualsiasi ente soggetto al GDPR (indipendentemente da che agisca come Titolare o Responsabile del Trattamento) sono:

dover correggere i trattamenti;
dover sospendere, anche definitivamente, i trattamenti;
dover pagare una sanzione amministrativa pecuniaria;
dover sottostare a sanzioni amministrative accessorie;
essere chiamato a rispondere penalmente degli illeciti, nelle figure delle persone coinvolte direttamente;
dover risarcire i danni agli interessati.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici