Le conseguenze di una violazione delle norme in materia di protezione dei dati personali possono essere di diverso tipo, tra le quali anche le sanzioni pecuniarie.
E’ importante tenere presente che non è sufficiente rispettare le norme in materia di protezione dei dati personali, ma, in ossequio del principio di accountability, i titolari dovranno dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi, insomma dovranno saper rendere conto di quanto fanno.
Le violazioni
Il regolamento europeo distingue due gruppi di violazioni.
1) Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
- a) inosservanza degli obblighi del titolare e del responsabile del trattamentoa norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
b) inosservanza degli obblighi dell’organismo di certificazionea norma degli articoli 42 e 43;
c) inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.2) Un secondo gruppo di violazioni (art. 83, par. 5, GDPR), per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:a) inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
c) inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1;
– alle quali si aggiunge l’inosservanza delle prescrizioni di cui alle autorizzazioni generale del Garante per la privacy di cui all’art. 21 D. Lgs 101/2018 (adeguamento Codice Privacy) o di cui al provvedimento di cui all’art. 21, comma 1, del D. Lgs. 101/2018 (prescrizioni in materia di dati a trattamento speciale).
In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione, nel senso che, come precisato da Isabelle Falque-Pierrotin, Presidente del gruppo Articolo 29, si terrà conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR, e ogni violazione sarà soppesata alla luce della sua gravità. Le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.
Conseguenze di una violazione
In presenza di una violazione si possono avere le seguenti conseguenze:
– l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
– se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
– la violazione può portare a danni reputazionali a carico del titolare (es. a seguito di un data breach) con gravi conseguenze sull’attività dell’azienda;
– la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
– la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
– la violazione può portare all’applicazione di eventuali sanzioni penali, se lo Stato si è avvalso della possibilità di introdurre tali sanzioni all’interno del suo ordinamento, come previsto dal regolamento europeo.
Sanzioni amministrative
In base all’articolo 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. In base al principio di coerenza, l’intervento delle autorità dovrà essere equivalente tra i vari Stati.
Al momento di infliggere una sanzione pecuniaria, l’autorità di controllo dovrà considerare vari criteri per stabilire il tipo di sanzione da applicare e l’eventuale importo:
– la natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente) tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l’autorità può procedere con un semplice avvertimento); ;
– il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave);
– se la violazione ha portato un profitto al titolare;
– le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
– il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
– eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
– il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
– le categorie di dati personali interessate dalla violazione;
– la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
– qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
– l’adesione ai codici di condotta o ai meccanismi di certificazione.
Sanzioni penali
I reati previsti dal Codice sono:
- il trattamento illecito dei dati,
• la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala,
• l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala,
• la falsità nelle dichiarazioni al garante,
• l’interruzione dell’esecuzione di compiti e poteri del garante,
• l’inosservanza dei provvedimenti del garante.
Sanzioni correttive
L’autorità di controllo ha il potere di irrogare sanzioni correttive. Essi consistono nel:
– rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
– rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
– ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
– ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
– imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
– ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
– revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
– infliggere le sanzioni amministrative pecuniarie;
– ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Scritto da Bruno Saetta pubblicato il