La violazione della privacy e le sanzioni previste dalla normativa comunitaria Autore: Redazione In: Focus Il presente contributo è tratto da I ricorsi al garante della privacy di Michele Iaselli. Nell ambito del diritto dell UE, l articolo 83 del regolamento n. 2016/679 autorizza le autorita di controllo degli Stati membri a infliggere sanzioni amministrative pecuniarie in relazione a violazioni del regolamento. Il livello delle sanzioni e le circostanze delle quali le autorita nazionali tengono conto nel decidere se infliggere una sanzione, nonche il tetto massimo di tali sanzioni sono anch essi fissati nell articolo 83. Il regime sanzionatorio e pertanto armonizzato in tutta l UE. Il sistema sanzionatorio a più livelli Nell infliggere le sanzioni, il G.D.P.R. segue un approccio a piu livelli. Le autorita di controllo hanno il potere di infliggere sanzioni amministrative pecuniarie per violazioni del regolamento fino a 20 milioni di euro o, per le imprese, il 4% del fatturato mondiale totale annuo, se superiore. Le violazioni che possono comportare questo livello di sanzioni includono le violazioni dei principi fondamentali del trattamento e le condizioni relative al consenso, le violazioni dei diritti degli interessati e delle disposizioni del regolamento che disciplinano il trasferimento di dati personali a destinatari in Paesi terzi. Per altre violazioni, e piu precisamente in caso di violazioni degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 o di violazione degli obblighi dell organismo di certificazione, le autorita di controllo possono infliggere sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore. Nel decidere il tipo e il livello della sanzione da infliggere, le autorita di controllo devono tenere conto di diversi elementi. Ad esempio, devono tenere debito conto della natura, gravita e durata della violazione, delle categorie di dati personali interessate e del carattere doloso o colposo della violazione. Se un titolare del trattamento ha adottato misure per attenuare il danno subito dagli interessati, deve esserne tenuto conto. Analogamente, il grado di cooperazione con l autorita di controllo a seguito della violazione e la maniera in cui quest ultima ha preso conoscenza della stessa (ad esempio, se e stata segnalata dall entita responsabile del trattamento o da un interessato i cui diritti sono stati violati) sono altri fattori importanti che guidano le autorita di controllo nella loro decisione. In particolare, gli elementi di cui bisogna tener conto per irrogare la sanzione amministrativa sono: 1 di 5
1. 2. 3. 4. 5. 6. 7. 8. a) la natura, la gravita e la durata della violazione; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subi to dagli interessati; d) il grado di responsabilita del titolare del trattamento o del responsabile del trattamento; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l autorita di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l autorita di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; 9. i) qualora siano stati precedentemente disposti provvedimenti di cui all articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 10. 11. j) l adesione ai codici di condotta; k) eventuali altri fattori aggravanti o attenuanti. Oltre alla possibilita di imporre sanzioni amministrative pecuniarie, le autorita di controllo hanno a disposizione una vasta gamma di altri poteri correttivi. I cosiddetti poteri «correttivi» delle autorita di controllo sono sanciti dall articolo 58, secondo paragrafo del G.D.P.R. e sono: 1. a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento; 2. b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; 2 di 5
3. c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell interessato di esercitare i diritti loro derivanti dal presente regolamento; 4. d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; 5. 6. e) ingiungere al titolare del trattamento di comunicare all interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; 7. g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell articolo 17, paragrafo 2, e dell articolo 19; 8. h) revocare la certificazione o ingiungere all organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono piu soddisfatti; 9. i) infliggere una sanzione amministrativa pecuniaria ai sensi dell articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; 10. j) ordinare la sospensione dei flussi di dati verso un destinatario in un Paese terzo o un organizzazione internazionale. Sanzioni amministrative e sanzioni penali L art. 84 del G.D.P.R. attribuisce, comunque, in materia una certa discrezionalita agli Stati membri nel momento in cui stabilisce che gli stessi determinano le sanzioni per le violazioni del Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell articolo 83, e prendono tutti i provvedimenti necessari per assicurarne l applicazione. Proprio in considerazione di tali margini discrezionali riconosciuti dal regolamento comunitario il legislatore nazionale con il d.lgs. n. 101/2018 nel riformare il codice in materia di protezione dei dati personali ha deciso di ribadire l esistenza di sanzioni penali, anzi ha introdotto anche nuove fattispecie 3 di 5
incriminatrici. Innanzitutto il legislatore ha ritenuto opportuno proporre l opzione volta a depenalizzare la fattispecie di cui all art. 169 del Codice (Misure di sicurezza). Difatti le radicali modifiche apportate alle misure minime di cui all articolo 33 che hanno imposto di dequotare la corrispondente fattispecie sanzionatoria, applicando le sanzioni amministrative nei casi previsti dal Regolamento. Quanto all articolo 167, invece, occorre osservare che tale fattispecie, nell esperienza giurisprudenziale formatasi, ha dimostrato una limitata operativita ed una scarsa aderenza a ipotesi di trattamento illecito realmente significative. Pertanto, in luogo di tale fattispecie ne e stata introdotta altra, ben differente, contraddistinta dall intento di arrecare danno all interessato ed alla quale se ne aggiungono ulteriori come l art. 167-bis in caso di comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala e l art. 167-ter in caso di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala. L art. 167-bis dispone che chiunque comunica o diffonde al fine di trarre profitto per se o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, e punito con la reclusione da uno a sei anni. Inoltre anche chiunque, al fine trarne profitto per se o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, e punito con la reclusione da uno a sei anni, quando il consenso dell interessato e richiesto per le operazioni di comunicazione e di diffusione. L art. 167-ter, invece, stabilisce che chiunque, al fine trarne profitto per se o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala e punito con la reclusione da uno a quattro anni. Rispetto alla fattispecie di cui all articolo 168 (Falsita nelle dichiarazioni e notificazioni al Garante), si e ritenuto opportuno conservare l opzione punitiva giacche tale fattispecie sanziona condotte caratterizzate da apprezzabile meritevolezza di pena e/o contrassegnate da significativo disvalore. Tale previsione, del resto, e esclusa dall ambito di applicazione delle sanzioni amministrative, non ponendo problemi in punto di ne bis in idem. In riferimento al reato previsto ex articolo 170 (Inosservanza di provvedimenti del Garante), si e ritenuto di mantenere l illecito seppur inquadrato negli attuali ambiti normativi. 4 di 5
Al pari si e ritenuto di mantenere, anche, l illecito di cui all art.171, seppur diversamente rubricato (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) e con specifici riferimenti all art. 4 dello Statuto dei Lavoratori. Per quanto riguarda le sanzioni contro le violazioni del diritto dell UE da parte delle istituzioni o degli organismi dell UE, a causa della speciale competenza del regolamento sulla protezione dei dati da parte delle istituzioni dell UE, le sanzioni possono essere previste sotto forma di provvedimenti disciplinari. A norma dell articolo 49 del regolamento, «il funzionario o altro agente delle Comunita europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento e passibile di provvedimenti disciplinari [...]». Si ricorda che il gruppo di lavoro ex art. 29 per la protezione dei dati ha adottato il 3 ottobre 2017 delle linee guida riguardanti l applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679. Nell ambito del diritto del Consiglio d Europa, l articolo 12 della Convenzione n. 108 modernizzata prevede che ciascuna parte contraente debba definire le sanzioni e i ricorsi appropriati per le violazioni delle disposizioni di diritto nazionale che danno attuazione ai principi fondamentali della protezione dei dati enunciati nella Convenzione n. 108. La Convenzione non stabilisce ne impone una particolare serie di sanzioni. Al contrario, specifica chiaramente che ciascuna parte contraente ha la facolta di determinare la natura delle sanzioni giurisdizionali o non giurisdizionali, che possono essere penali, amministrative o civili. La relazione esplicativa della Convenzione n. 108 modernizzata prevede che le sanzioni debbano essere efficaci, proporzionate e dissuasive. Le parti contraenti devono rispettare tale principio nel determinare la natura e la gravita delle sanzioni disponibili nel loro ordinamento giuridico interno. Potrebbe interessarti anche il seguente articolo: Il Garante sanziona Facebook per la mancanza di una corretta informativa circa i dati raccolti con finalità di profilazione psicologica degli utenti Il presente contributo è tratto da I ricorsi al garante della privacy di Michele Iaselli https://www.diritto.it/la-violazione-della-privacy-e-le-sanzioni-previste-dalla-normativa-comunitaria/ 5 di 5