Nell’ambito del diritto dell’UE, l’articolo 83 del regolamento n. 2016/679 autorizza le autorità di controllo degli Stati membri a infliggere sanzioni amministrative pecuniarie in relazione a violazioni del regolamento. Il livello delle sanzioni e le circostanze delle quali le autorità nazionali tengono conto nel decidere se infliggere una sanzione, nonché il tetto massimo di tali sanzioni sono anch’essi fissati nell’articolo 83. Il regime sanzionatorio è pertanto armonizzato in tutta l’UE.
Il sistema sanzionatorio a più livelli
Nell’infliggere le sanzioni, il G.D.P.R. segue un approccio a più livelli. Le autorità di controllo hanno il potere di infliggere sanzioni amministrative pecuniarie per violazioni del regolamento fino a 20 milioni di euro o, per le imprese, il 4% del fatturato mondiale totale annuo, se superiore. Le violazioni che possono comportare questo livello di sanzioni includono le violazioni dei principi fondamentali del trattamento e le condizioni relative al consenso, le violazioni dei diritti degli interessati e delle disposizioni del regolamento che disciplinano il trasferimento di dati personali a destinatari in Paesi terzi. Per altre violazioni, e più precisamente in caso di violazioni degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 o di violazione degli obblighi dell’organismo di certificazione, le autorità di controllo possono infliggere sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore.
Nel decidere il tipo e il livello della sanzione da infliggere, le autorità di controllo devono tenere conto di diversi elementi. Ad esempio, devono tenere debito conto della natura, gravità e durata della violazione, delle categorie di dati personali interessate e del carattere doloso o colposo della violazione. Se un titolare del trattamento ha adottato misure per attenuare il danno subito dagli interessati, deve esserne tenuto conto. Analogamente, il grado di cooperazione con l’autorità di controllo a seguito della violazione e la maniera in cui quest’ultima ha preso conoscenza della stessa (ad esempio, se è stata segnalata dall’entità responsabile del trattamento o da un interessato i cui diritti sono stati violati) sono altri fattori importanti che guidano le autorità di controllo nella loro decisione.
In particolare, gli elementi di cui bisogna tener conto per irrogare la sanzione amministrativa sono:
- a) la natura, la gravità e la durata della violazione;
- b) il carattere doloso o colposo della violazione;
- c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subìto dagli interessati;
- d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento;
- e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- g) le categorie di dati personali interessate dalla violazione;
- h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- j) l’adesione ai codici di condotta;
- k) eventuali altri fattori aggravanti o attenuanti.
Oltre alla possibilità di imporre sanzioni amministrative pecuniarie, le autorità di controllo hanno a disposizione una vasta gamma di altri poteri correttivi. I cosiddetti poteri «correttivi» delle autorità di controllo sono sanciti dall’articolo 58, secondo paragrafo del G.D.P.R. e sono:
- a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
- b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
- c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;
- d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
- e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
- f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
- g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;
- h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
- i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;
- j) ordinare la sospensione dei flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.
Sanzioni amministrative e sanzioni penali
L’art. 84 del G.D.P.R. attribuisce, comunque, in materia una certa discrezionalità agli Stati membri nel momento in cui stabilisce che gli stessi determinano le sanzioni per le violazioni del Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e prendono tutti i provvedimenti necessari per assicurarne l’applicazione.
Proprio in considerazione di tali margini discrezionali riconosciuti dal regolamento comunitario il legislatore nazionale con il d.lgs. n. 101/2018 nel riformare il codice in materia di protezione dei dati personali ha deciso di ribadire l’esistenza di sanzioni penali, anzi ha introdotto anche nuove fattispecie incriminatrici.
Innanzitutto il legislatore ha ritenuto opportuno proporre l’opzione volta a depenalizzare la fattispecie di cui all’art. 169 del Codice (Misure di sicurezza).
Difatti le radicali modifiche apportate alle “misure minime” di cui all’articolo 33 che hanno imposto di dequotare la corrispondente fattispecie sanzionatoria, applicando le sanzioni amministrative nei casi previsti dal Regolamento.
Quanto all’articolo 167, invece, occorre osservare che tale fattispecie, nell’esperienza giurisprudenziale formatasi, ha dimostrato una limitata operatività ed una scarsa aderenza a ipotesi di trattamento illecito realmente significative. Pertanto, in luogo di tale fattispecie ne è stata introdotta altra, ben differente, contraddistinta dall’intento di arrecare danno all’interessato ed alla quale se ne aggiungono ulteriori come l’art. 167-bis in caso di comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala e l’art. 167-ter in caso di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.
L’art. 167-bis dispone che chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni.
Inoltre anche chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
L’art. 167-ter, invece, stabilisce che chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
Rispetto alla fattispecie di cui all’articolo 168 (Falsità nelle dichiarazioni e notificazioni al Garante), si è ritenuto opportuno conservare l’opzione punitiva giacché tale fattispecie sanziona condotte caratterizzate da apprezzabile meritevolezza di pena e/o contrassegnate da significativo disvalore. Tale previsione, del resto, è esclusa dall’ambito di applicazione delle sanzioni amministrative, non ponendo problemi in punto di ne bis in idem.
In riferimento al reato previsto ex articolo 170 (Inosservanza di provvedimenti del Garante), si è ritenuto di mantenere l’illecito seppur inquadrato negli attuali ambiti normativi.
Al pari si è ritenuto di mantenere, anche, l’illecito di cui all’art.171, seppur diversamente rubricato (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) e con specifici riferimenti all’art. 4 dello Statuto dei Lavoratori.
Per quanto riguarda le sanzioni contro le violazioni del diritto dell’UE da parte delle istituzioni o degli organismi dell’UE, a causa della speciale competenza del regolamento sulla protezione dei dati da parte delle istituzioni dell’UE, le sanzioni possono essere previste sotto forma di provvedimenti disciplinari.
A norma dell’articolo 49 del regolamento, «il funzionario o altro agente delle Comunità europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari […]».
Si ricorda che il gruppo di lavoro ex art. 29 per la protezione dei dati ha adottato il 3 ottobre 2017 delle linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679.
Nell’ambito del diritto del Consiglio d’Europa, l’articolo 12 della Convenzione n. 108 modernizzata prevede che ciascuna parte contraente debba definire le sanzioni e i ricorsi appropriati per le violazioni delle disposizioni di diritto nazionale che danno attuazione ai principi fondamentali della protezione dei dati enunciati nella Convenzione n. 108. La Convenzione non stabilisce né impone una particolare serie di sanzioni. Al contrario, specifica chiaramente che ciascuna parte contraente ha la facoltà di determinare la natura delle sanzioni giurisdizionali o non giurisdizionali, che possono essere penali, amministrative o civili. La relazione esplicativa della Convenzione n. 108 modernizzata prevede che le sanzioni debbano essere efficaci, proporzionate e dissuasive. Le parti contraenti devono rispettare tale principio nel determinare la natura e la gravità delle sanzioni disponibili nel loro ordinamento giuridico interno.
Il presente contributo è tratto da “I ricorsi al garante della privacy” di Michele Iaselli
Scrivi un commento
Accedi per poter inserire un commento