Le sanzioni in materia di protezione dei dati personali

Le sanzioni in materia di protezione dei dati personali

Le conseguenze di una violazione delle norme in materia di protezione dei dati personali possono essere di diverso tipo, tra le quali anche sanzioni amministrative pecuniarie applicate a seguito di un procedimento dinanzi all'Autorità di controllo nazionale (Garante Privacy). 

Non è sufficiente rispettare le norme in materia di protezione dei dati personali ma, in ossequio del principio di accountability, i titolari del trattamento devono dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi, insomma dovranno saper rendere conto di quanto fanno. 

 

Le violazioni

Il regolamento europeo, integrato dal Codice Privacy, distingue due gruppi di violazioni.

1) Nel primo caso (art. 83, par. 4, GDPR) le sanzioni amministrative pecuniarie possono arrivare fino a 10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo dell'esercizio precedente, se superiore, e riguardano: 
a) inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell'Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43; 
b) inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; 
c) inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4; 
d) inosservanza dell'articolo 2-quinquies, comma 2, Cod. Privacy (informativa ai minori); 
e) inosservanza dell'art. 2-quinquiesdecies Cod. Privacy (trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico); 
f) inosservanza dell'art. 92, comma 1 Cod. Privacy (cartelle cliniche);
g) inosservanza dell'art. 93, comma 1, Cod. Privacy (certificato di assistenza al parto);
h) inosservanza dell'art. 123, comma 4, Cod. Privacy (informativa agli utenti per i dati relativi al traffico telefonico);
i) inosservanza dell'art. 128 Cod. Privacy (blocco dei trasferimenti di chiamata); 
l) inosservanza dell'art. 129, comma 2, Cod. Privacy (consenso per l'inclusione negli elenchi telefonici); 
m) inosservanza dell'art. 132-ter Cod. Privacy (misure di sicurezza per i fornitori di servizi di comunicazione elettronica); 
n) non effettuazione della
valutazione di impatto di cui all'articolo 110 Cod. Privacy, comma 1, primo periodo; 
o) non sottoposizione del programma di ricerca a consultazione preventiva del Garante a norma dell'art. 110 Cod. Privacy, comma 1, terzo periodo. 


2) Un secondo gruppo di violazioni (art. 83, par. 5, GDPR), per il quale sono previste sanzioni fino 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, riguardano: 
a) inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22; 
c) inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; 
e) inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1; 
f) inosservanza degli articoli 2-ter, 2-quinquies, comma 1, 2-sexies, 2-septies, comma 8, 2-octies, 2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82,
92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, 157, nonche' delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater. 

Il Regolamento impone agli Stati membri di stabilire norme relative alle altre sanzioni in caso di violazione di disposizioni diverse da quelle già sanzionate dal Regolamento garantendo che le sanzioni siano effettive, proporzionate e dissuasive (art. 84). In ogni caso le sanzioni devono essere considerate un'arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all'azienda, in modo da non costringerla a chiudere l'attività. 

Ulteriori violazioni sono previste dall'art. 166 del Codice Privacy (soggette alla sanzione prevista dall'art. 83, par. 4, GDPR): 
- violazioni della disposizione di cui all'art. 2 quinquies, comma 2 (redazione informativa chiara in materia di consenso dei minori in relazione ai servizi della società dellinformazione); 
- violazione della disposizione di cui all'art. 2 quinquiesdecies (Trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico);
- violazione della disposizione di cui all'art. 92, comma 1 (cartelle cliniche);
- violazione della disposizione di cui all'art. 93, comma 1 (
Certificato di assistenza al parto); 
- violazione della disposizione di cui all'art. 123, comma 4 (informazioni da parte dei servizi di comunicazione elettronica); 
- violazione della disposizione di cui all'art. 128 (
Trasferimento automatico della chiamata); 
- violazione della disposizione di cui all'art. 129, comma 2 (consenso per l'inclusione negli elenchi); 
- violazione della disposizione di cui all'art. 132 ter (investigazioni difensive e dati dei fornitori di servizi di comunicazione); 
- non effettuazione della valutazione di impatto di cui all'articolo 110, comma 1, primo periodo; 
- non sottoposizione del programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma 2. 
Sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, le violazioni seguenti:
- le violazioni delle disposizioni di cui agli articoli 2 ter, 2 quinquies, comma 1, 2 sexies, 2 septies, comma 8, 2 octies, 2 terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110 bis, commi 2 e 3, 111, 111 bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, art. 132 del codice privacy, 132 bis, comma 2, 132 quater, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2 septies e 2 quater. 

 

Conseguenze di una violazione

In presenza di una violazione delle norme si possono avere le seguenti conseguenze: 
- l'autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell'immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti
- se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali
- la violazione può portare a danni reputazionali a carico del titolare (es. a seguito di un data breach) con gravi conseguenze sull'attività dell'azienda; 
- la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari; 
- la violazione può portare all'applicazione di sanzioni amministrative da parte dell'autorità di controllo; 
- la violazione può portare all'applicazione di eventuali sanzioni penali, se lo Stato si è avvalso della possibilità di introdurre tali sanzioni all'interno del suo ordinamento, come previsto dal regolamento europeo

 

Le sanzioni 

Il Regolamento europeo prevede una serie di sanzioni. La Corte di Giustizia europea ha più volte sottolineato che i regolatori nazionali hanno forti limiti nella determinazione delle sanzioni previste dal Regolamento. L'approccio "rigoroso" adottato dalla Corte significa che le condizioni per l'imposizione delle sanzioni GDPR sono rigidamente disciplinate dal diritto dell'UE, senza lasciare spazio agli Stati membri per stabilire ulteriori condizioni o margini di discrezionalità. 

 

- Sanzioni correttive

L'autorità di controllo ha il potere di irrogare sanzioni correttive non pecuniarie (art. 58 GDPR). Le autorità devono garantire affinché le sanzioni siano effettive, proporzionate e dissuasive. In base al principio di coerenza l'intervento delle autorità dovrà essere equivalente tra i vari Stati.
Esse consistono nel: 
- rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme; 
- rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme; 
- ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
- ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, eventualmente specificando le modalità e i termini per conformarsi; 
- ingiungere al titolare di comunicare agli interessati una violazione dei dati personali
- imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietarlo del tutto; 
- ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali, e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali; 
- revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti; 
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale; 
- infliggere le sanzioni amministrative pecuniarie

 

- Sanzioni amministrative 

Le autorità di controllo nazionali (Garante), al termine del relativo procedimento avviato d'ufficio o su istanza di un interessato, possono infliggere una sanzione amministrativa (art. 83 GDPR) in aggiunta o al posto delle sanzioni correttive. Anche questa sanzioni devono essere effettive, proporzionate e dissuasive, oltre che equivalenti tra i vari Stati. 

Al momento di infliggere una sanzione pecuniaria, l'autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l'eventuale importo: 
- la natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente), tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l'autorità può procedere con un semplice avvertimento); ; 
- il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave); 
- se la violazione ha portato un profitto al titolare; 
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto; 
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; 
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; 
- le categorie di dati personali interessate dalla violazione; 
- la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione
- qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 
- l’adesione a codici di condotta o a meccanismi di certificazione

Una volta provata dall'autorità amministrativa la fattispecie tipica dell'illecito, è il trasgressore, in virtù della presunzione di colpa, che dovrà provare di aver agito in assenza di colpevolezza (Art. 3 Legge n. 689/1981). 

 

- Sanzioni penali

Il Regolamento europeo non prevede sanzioni penali, ma consente agli Stati membri di introdurre sanzioni di questo tipo. I reati previsti dal Codice Privacy sono stati parzialmente modificati 

  

Impugnazioni

I provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all'autorità giudiziaria.