News

LEGALFOR

GDPR: il nuovo regime sanzionatorio

legalfor.fw

 

 

Con l’entrata in vigore del GDPR, il quadro sanzionatorio privacy sarà ben più severo, non soltanto per ciò che riguarda l’entità degli importi, ma anche per quanto concerne le ipotesi per cui possono essere comminate le sanzioni. Prima di esaminare più in dettaglio il funzionamento del mutato quadro regolatorio, va messa in evidenza la scelta del legislatore europeo di uniformare la tipologia e l’entità delle sanzioni, a differenza di quanto accadeva in precedenza, fornendo ex ante alcuni criteri per la ponderazione delle sanzioni amministrative pecuniarie. Il Working Party Articolo 29 ha così ritenuto necessario emanare delle linee guida, affinché venisse garantita, da un lato, l’applicazione coerente delle norme sulla protezione dei dati personali, dall’altro, un regime di protezione dei dati armonizzato per tutti i cittadini europei.

 

Sulla base dell’articolo 82 del GDPR, resta fatta la salva la possibilità per l’interessato, che subisca un danno materiale o immateriale, di ottenere il risarcimento del danno, a seconda che la violazione sia stata commessa dal Titolare o dal Responsabile. Il GDPR, agli articoli successivi, invece, disciplina le ipotesi per cui è prevista l’applicazione di sanzioni amministrative pecuniarie e/o penali. Per quanto riguarda le prime esse possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:

 

  • violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;

  • trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;

  • mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;

  • violazione dell’obbligo di nomina del DPO ;

  • mancata applicazione di misure di sicurezza.

 

L’importo delle sanzioni amministrative pecuniarie può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa nei casi di, a titolo esemplificativo:

 

  • inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;

  • trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

 

Nonostante il GDPR focalizzi la propria attenzione, prevalentemente, sulle violazioni di tipo amministrativo, all’interno del Considerando 149 è stabilito che gli Stati Membri “dovrebbero poter stabilire disposizioni relative a sanzioni penali” come strumento di attuazione e tutela della nuova disciplina, pur sempre in ossequio al principio del ne bis in idem .

 

All’interno del GDPR è presente anche un margine di discrezionalità circa la possibilità di infliggere una sanzione e la determinazione dell’importo della stessa. Ciò non implica un’autonomia gestionale delle sanzioni in capo alle Autorità nazionali competenti, ma fornisce, a queste ultime, alcuni criteri su come interpretare le singole circostanze del caso. Nello specifico, verranno esaminati di seguito alcuni criteri per la determinazione delle sanzioni amministrative pecuniarie, di cui all’articolo 83 paragrafo 2: 

  • “la natura, gravità e durata della violazione”;

  • “il carattere doloso o colposo della violazione”;

  • “il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi”.

     

Con riferimento al primo criterio, lo stesso regolamento riconosce l’esistenza di diversi massimali per le sanzioni amministrative pecuniarie, i.e. 10 o 20 milioni di euro. Sarà, perciò, compito dell’Autorità nazionale competente valutare le circostanze di specie, alla luce di tali criteri generali, e poi decidere se procedere con una misura correttiva, più o meno severa, sotto forma di sanzione pecuniaria. All’interno del Considerando 148, è offerta all’Autorità nazionale l’opportunità di sostituire la sanzione pecuniaria con un ammonimento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica”. Anche tale inciso dimostra la tendenza del legislatore europeo di incoraggiare l’utilizzo delle sanzioni pecuniarie con un approccio “ponderato” ed “equilibrato”. L’obiettivo ultimo rimane, infatti, quello di incentivare le società al rispetto della privacy by design e privacy by default, affidando lo strumento dell’applicazione di sanzioni pecuniarie così elevate, esclusivamente, al fine di reagire in maniera dissuasiva e proporzionata ad eventuali violazioni.  

 

Con riferimento al secondo criterio, le valutazioni, circa l’esistenza di dolo o di colpa nella condotta, verranno effettuate sulla base di elementi oggettivi e sarà compito della giurisprudenza emergente definire ex antelinee di demarcazione più chiare per valutare il carattere doloso di una violazione”. Il Working Party ha, tuttavia, già provveduto ad esemplificare alcune condotte che potranno integrare il suddetto carattere doloso. Queste sono riconducibili alle ipotesi di:

  • trattamenti illeciti autorizzati esplicitamente dal senior management, ovvero ignorando i pareri formulati dal DPO;

  • modifica di dati personali, avente la finalità di fornire un’impressione “fuorviante” circa il conseguimento degli obiettivi individuati;

  • vendita di dati, in mancanza di verifica e/o ignorando la scelta liberamente esercitata dagli interessati.

     

Anche all’interno delle presenti linee guida viene, inoltre, precisato che la carenza di risorse economiche e materiali non potrà costituire ipotesi di esenzione di responsabilità. In funzione del cosiddetto risk based approach, infatti, il titolare dovrà progettare, sin dal principio, il proprio trattamento, stimando l’esistenza di possibili rischi per i diritti e le libertà degli interessati. Tale valutazione iniziale determinerà l’entità della responsabilità, in capo al Titolare o al suo Responsabile, tenendo in considerazione il contesto, le finalità e la natura del trattamento.

 

Con riferimento al terzo criterio, ciò che deve essere posto in risalto sarà il livello e l’entità della cooperazione con le autorità di controllo. Esso potrà costituire un fattore determinante, nella scelta di applicare o meno una sanzione amministrativa e, eventualmente, fissarne l’ammontare, qualora siano state limitate o azzerate le ripercussioni negative sui diritti degli interessati che si sarebbero altrimenti verificate in mancanza di tale collaborazione.

 

E’ innegabile, come correttamente rilevato dal Gruppo di Lavoro, che l’esercizio di determinati poteri sanzionatori possa sollevare obiezioni ed impugnazioni dinanzi ai tribunali nazionali dei diversi paesi europei. Mediante la collaborazione tra le diverse autorità di controllo europee e la Commissione, organo esecutivo dell’Unione, sarà possibile ottenere un approccio armonizzato alle sanzioni amministrative in materia di protezione dei dati personali. La giurisprudenza europea emergente e lo scambio attivo di informazioni tra le diverse autorità potrà, quindi, condurre alla rivisitazione dei princìpi e delle regole che disciplinano questa normativa e questa materia in continua evoluzione. 

 

Avv. Mauro Festa