Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali

Transcript

1 ICT Security Magazine ICT Security - La Prima Rivista Dedicata alla Sicurezza Informatica Le sanzioni amministrative pecuniarie nel GDPR: l art. 83 alla luce della Fining policy dell Autorità olandese per la protezione dei dati personali Author : Mauro Formato Date : 6 Giugno 2019 Le sanzioni amministrative pecuniarie previste dal GDPR Una delle ragioni alla base dell interesse di massa sviluppatosi intorno al Reg. UE 2016/679[1] (di seguito GDPR) è sicuramente rinvenibile nello stringente sistema sanzionatorio che tale fonte normativa europea, nel suo art. 83, ha introdotto. Il GDPR prevede infatti due tipologie di sanzioni amministrative pecuniarie particolarmente stringenti: A. fino a EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; B. fino a EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Al diverso ammontare della potenziale sanzione pecuniaria si accompagnano violazioni di differenti norme: nel caso delle sanzioni appartenenti alla tipologia A, le norme violate si riferiscono a: obblighi del titolare del trattamento e del responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43), obblighi dell'organismo di certificazione (art. 42 e 43) nonché agli obblighi dell'organismo di controllo (art. 41 par.4); nel caso delle sanzioni appartenenti alla tipologia B, invece, le norme violate riguardano: principi di base del trattamento (art. 5, 6, 7 e 9), diritti degli interessati (artt. da 12 a 22), trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale (artt. da 44 a 49), obblighi previsti dalle legislazioni degli Stati membri adottate a norma del capo IX, l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di 1 / 6

2 controllo o il negato accesso in violazione (art. 58). L elevato ammontare delle sanzioni pecuniarie previste dal Regolamento europeo ha costituito - e costituisce tuttora - cagione di evidente preoccupazione per i Titolari e i Responsabili del trattamento, intimoriti dalle possibili ripercussioni che sanzioni siffatte, unitamente ai probabili danni reputazionali collegati, potrebbero avere sulle proprie aziende o sul proprio business. In realtà, è lo stesso GDPR a porre un argine alla discrezionalità delle Autorità garanti per i dati personali nel determinare l ammontare della sanzione pecuniaria da comminare. L art. 83, paragrafo 2, prevede infatti una serie di criteri in base ai quali l eventuale sanzione dovrà essere parametrata: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. Nonostante tali criteri possano, in un certo senso, guidare l interprete, amplissimi spazi di incertezza permangono in merito all effettiva portata della sanzione economica cui il Titolare o il Responsabile andrebbero incontro in caso di inadempimento dei precetti normativi del GDPR. Tale indeterminatezza riverbera i propri effetti anche sui professionisti chiamati a coadiuvare le aziende nel processo di adeguamento alla normativa europea, i quali sono costretti a sforzi di astrazione per tentare di quantificare ai propri assistiti, nel modo migliore possibile, il plausibile costo di un disallineamento della condotta aziendale rispetto a quanto imposto o suggerito dal 2 / 6

3 GDPR. Il tutto va a pesare altresì sul già rilevante bilancio di incertezza dovuto all adeguamento a una normativa di recente introduzione, basata sul criterio - di matrice anglosassone - dell accountability, ossia della responsabilizzazione del titolare del trattamento, in forza del quale quest ultimo sarà tenuto, proattivamente, a dimostrare di aver attuato misure adeguate per garantire che il trattamento dei dati personali effettuato sia conforme allo stesso Regolamento. La Fining policy dell Autorità olandese per la protezione dei dati personali Nel quadro così tratteggiato, il primo e (sinora) unico tentativo di portare maggiore trasparenza del processo di determinazione della sanzione pecuniaria è stato effettuato dall Autorità garante per la protezione dei dati personali olandese. L Autoriteit Persoonsgegevens[2] ha infatti recentemente pubblicato una vera e propria Fining policy relativa al processo di determinazione delle sanzioni dovute alla violazione degli obblighi imposti dal GDPR. La policy olandese introduce un sistema basato su quattro categorie di sanzioni pecuniarie ricollegate alla violazione di norme specifiche del GDPR (indicate analiticamente negli allegati 1 e 2 delle Norme sulle norme dell'autorità per i dati personali del 19 febbraio 2019 per quanto riguarda la determinazione del livello delle ammende amministrative [3]). Le categorie in esame possono essere in tal modo schematizzate: Categoria Sanzione minima Sanzione massima Sanzione base I , ,00 II , , ,00 III , , ,00 IV , , ,00 In base alla policy dell Autoriteit Persoonsgegevens, la Categoria I includerà violazioni minori, ad esempio l'inosservanza del diritto di rettifica o cancellazione o la mancata pubblicazione dei dati di contatto del DPO. Le categorie II e III copriranno la maggior parte delle possibili violazioni del GDPR, quali l inosservanza dei principi relativi al trattamento di dati personali (violazione dell'articolo 5) o dell'obbligo relativo alla liceità del trattamento (violazione dell'articolo 6). Naturalmente la Categoria IV si presterà a violazioni più gravi, come violazioni che implicano l'elaborazione di categorie di dati personali particolari, decisioni automatizzate o profilazione e qualsiasi trattamento illecito di dati giudiziari (per un analisi più approfondita sulle singole violazioni rientranti nelle quattro categorie sopracitate si rimanda alle tabelle di dettaglio in calce all articolo). L ammontare effettivo della sanzione sarà poi determinato a partire dalla sanzione base e aumentando o diminuendo tale importo sulla base dei molteplici criteri disciplinati nell art. 7 della Fining policy, quali: a) la natura, la gravità e la durata dell'infrazione, tenendo conto della 3 / 6

4 natura, o della finalità del trattamento in questione, nonché del numero di persone interessate e dell'entità del danno da esse subito; b) della natura dolosa o colposa della violazione; c) le misure che il titolare del trattamento o responsabile del trattamento hanno adottato per limitare il danno subito dagli interessati; d) il grado di responsabilità del titolare o del responsabile del trattamento sulla base delle misure tecniche e organizzative attuate conformemente agli articoli 25 e 32 del Regolamento generale sulla protezione dei dati; e) precedenti violazioni rilevanti; f) il grado di cooperazione con l'autorità di controllo per sanare l'infrazione e limitare le possibili conseguenze negative; g) le categorie di dati personali interessati dall'infrazione; h) il modo in cui l'autorità di vigilanza è venuta a conoscenza dell'infrazione, etc. Meritevoli di specifico approfondimento sono altresì alcune norme di chiusura, dalle quali traspare la meritoria opera di adeguamento dell Autorità olandese a quanto sancito dal paragrafo 9 dell art. 83 GDPR, ai sensi del quale le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive : nell art. 8 è disciplinata la possibilità di irrogare sanzioni amministrative superiori ai massimali di cui alle quattro categorie prima citate (sempre nel rispetto dei limiti previsti dal GDPR), nel caso in cui l ammontare della sanzione non sia tale da costituire un adeguata reazione alla violazione perpetrata dal Titolare o dal Responsabile del trattamento; l art. 9 prevede esplicitamente che la situazione economica del soggetto sanzionato venga presa in considerazione come elemento di parametrizzazione della sanzione; ciò comporta che l Autorità olandese ben potrebbe decidere di comminare una sanzione più lieve nel caso in cui l applicazione tassativa della Fining policy risultasse essere eccessivamente punitiva per il Titolare o Responsabile del trattamento. Considerazioni finali Anche nella consapevolezza dell ambito di applicazione della policy (limitato naturalmente all attività dell Autorità garante olandese) e dei pur ampi margini di discrezionalità che la caratterizzano[4], non si può ignorare la portata innovativa del provvedimento dell Autorità garante olandese. Nonostante infatti la normativa europea non imponga agli Stati membri di dotarsi di una politica di dettaglio in relazione all applicazione dell art. 83, la policy olandese potrebbe fungere da apripista per l emissione di simili provvedimenti anche da parte delle altre Autorità garanti europee che volessero emulare i colleghi dell Autoriteit Persoonsgegevens nell emissione di provvedimenti atti a chiarire e precisare la portata applicativa dell art. 83 GDPR. La categorizzazione delle violazioni e delle relative sanzioni potrebbe altresì rappresentare uno strumento in più a disposizione di Titolari e Responsabili del trattamento per poter valutare, con un maggiore grado di precisione, le conseguenze patrimoniali di una violazione o di un mancato adeguamento alle norme previste dal GDPR. Tabella di dettaglio relativa agli allegati 1 e 2 della Fining policy olandese 4 / 6

5 Articolo GDPR Rubrica della norma C Allegato 1 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della si dell'informazione 11 Trattamento che non richiede l'identificazione I 25 Protezione dei dati fin dalla progettazione e protezione dei dati per imposi predefinita 26 Contitolari del trattamento I 27 (fatto salvo il III par.) Rappresentanti di titolari del trattamento o dei responsabili del trattamenti stabiliti nell'unione 27 (III par.) Rappresentanti di titolari del trattamento o dei responsabili del trattamenti stabiliti nell'unione 28 (fatto salvo il IX par.) Responsabile del trattamento I 28 (IX par.) Responsabile del trattamento I 29 Trattamento sotto l'autorità del titolare del trattamento o del responsabilei trattamento I 30 (fatto salvo il III par.) Registri delle attività di trattamento I 30 (III par.) Registri delle attività di trattamento I 31 Cooperazione con l'autorità di controllo I 32 Sicurezza del trattamento I 33 (fatto salvo il III par.) Notifica di una violazione dei dati personali all'autorità di controllo I 33 (III par.) Notifica di una violazione dei dati personali all'autorità di controllo I 34 (fatto salvo il II par.) Comunicazione di una violazione dei dati personali all'interessato I 34 (II par.) Comunicazione di una violazione dei dati personali all'interessato I 35 (fatto salvo il IX par.) Valutazione d'impatto sulla protezione dei dati I 35 (IX par.) Valutazione d'impatto sulla protezione dei dati I 36 Consultazione preventiva I 37 (fatto salvo il VII par.) Designazione del responsabile della protezione dei dati I 37 (VII par.) Designazione del responsabile della protezione dei dati I 38 (fatti salvi il II e il VI par.) Posizione del responsabile della protezione dei dati I 38 (II e VI par.) Posizione del responsabile della protezione dei dati I 39 Compiti del responsabile della protezione dei dati I 41 (IV par.) Controllo dei codici di condotta approvati I 42 (fatti salvi il III e il VI par.) Certificazione I 42 (III par.) Certificazione I 42 (III par.) Certificazione I 43 (VI par.) Organismi di certificazione I Allegato 2 5, I par. esclusa la lettera a) Principi applicabili al trattamento di dati personali I 5, I par. lettera a) e II par. Principi applicabili al trattamento di dati personali I 6 Liceità del trattamento I 5 / 6

6 Powered by TCPDF ( 7 Condizioni per il consenso I 9 Trattamento di categorie particolari di dati personali I 12 (fatti salvi il III, IV e V par.) Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diriti dell'interessato 12 (III, IV e V par.) Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diriti dell'interessato 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interi 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti prei l'interessato 15 Diritto di accesso dell'interessato I 16 Diritto di rettifica I 17 Diritto alla cancellazione («diritto all'oblio») I 18 (fatto salvo il III par.) Diritto di limitazione di trattamento I 18 (III par.) Diritto di limitazione di trattamento I 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o I limitazione del trattamento 20 Diritto alla portabilità dei dati I 21 (fatto salvo il IV par.) Diritto di opposizione I 21 (IV par.) Diritto di opposizione I 22 Processo decisionale automatizzato relativo alle persone fisiche, comprei profilazione 44 Principio generale per il trasferimento I 45 Trasferimento sulla base di una decisione di adeguatezza I 46 Trasferimento soggetto a garanzie adeguate I 47 Norme vincolanti d'impresa I 48 Trasferimento o comunicazione non autorizzati dal diritto dell'unione I 49 Deroghe in specifiche situazioni I Tutti gli obblighi previsti dagli stati membri ai sensi del Capo Disposizioni relative a specifiche situazioni di trattamento I a IX GDPR 58 Poteri I Note [1] [2] [3] [4] Aspetto evidenziato anche da importanti esponenti del panorama forense olandese: Articolo a cura di Mauro Formato 6 / 6