Responsabilità privacy: quali sono gli illeciti civili, amministrativi e penali

A seguito dell’ entrata in vigore del Regolamento[1] e del successivo decreto legislativo di armonizzazione[2] è stata riformata buona parte della disciplina che regolamenta la responsabilità amministrativa, civile e penale in ambito privacy . L’inasprimento delle sanzioni ha lo scopo di obbligare titolari e responsabili del trattamento alla “responsabilizzazione”[3] . Che cosa rischia chi viola il Regolamento o il Codice privacy? A seconda del tipo di violazione commessa possono essere previste sanzioni amministrative e pecuniarie, risarcimento del danno o la reclusione.

Per approfondire ed aggiornarti leggi anche “I ricorsi al garante della privacy” di Michele Iaselli.

Sanzioni amministrative e pecuniarie

Le violazioni che comportano l’ applicazione di sanzioni amministrative e pecuniarie possono essere divise in due categorie, a seconda della loro gravità.

Alla prima categoria corrispondono sanzioni pecuniarie fino a 10 Mln € e sanzioni amministrative fino al 2% del fatturato mondiale della società. I casi in cui si applicano sono:
A) mancata valutazione d’impatto DPIA;
B) omessa consultazione preventiva dell’ Autorità di Controllo;
C) omessa notifica Data Breach;
D) violazione dell’ obbligo di tenuta del Registro dei Trattamenti;
E) violazione degli obblighi collegati alla figura del D.P.O/ R.P.D.;
F) violazione degli obblighi dell’ Organismo di Certificazione;
G) violazione degli obblighi dell’ Organismo di Controllo.

Alla seconda categoria, invece, corrispondono sanzioni pecuniarie fino a 20 Mln € e sanzioni amministrative fino al 4% del fatturato mondiale della società. I casi in cui si applicano sono:
A) violazione degli obblighi che riguardano i principi di base del trattamento e le condizioni relative al consenso;
B) violazione dei diritti degli interessati ;
C) violazione degli obblighi inerenti il trasferimento di dati personali ad un destinatario di un Paese Terzo o un’organizzazione internazionale;
D) l’inosservaziona di un’ordine emanato dal Garante per la protezione dei dati personali;
E) violazioni delle disposizioni relative a specifiche situaizoni di trattamento.

E’ importante specificare però che le sanzioni devono essere sempre effettive, dissuasive e proporzionate. A tal riguardo il Regolamento stabilisce che se le violazioni sono di minore entità o se le sanzioni pecuniarie che dovrebbero essere comminate comportano un’onere eccessivo per la persona fisica, potrebbe essere rivolto un’ammonimento anzichè una sanzione pecuniaria. Questa previsione è un’ottimo strumento di difesa per le persone fisiche nel caso di sanzioni troppo elevate.

Responsabilità civile

Il trattamento di dati personali è una attività che espone gli interessati ad un rischio. Il sistema giuridico bilancia il possibile danno con un insieme di tutele idonee a ripristinare il patrimonio giuridico dell’interessato. Innanzitutto è riconosciuta agli interessati la possibilità di proporre un ricorso giurisdizionale nei confronti del titolare del trattamento o del responsabile che abbiano cagionato un danno. Il diritto a proporre un riscorso si manifesta, poi, grazie alla possibilità di ottenere un risarcimento del danno nel caso di responsabilità del titolare o del responsabile del trattamento.
La responsabilità può derivare da trattamenti di dati personali suscettibile di:
– aver cagionato un danno fisico, materiale o immateriale;
– aver comportato discriminazioni, furto o usurpazione d’identità;
– aver arrecato pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale;
– aver rivelato dati sensibili.

Inoltre, la responsabilità del titolare o del responsabile del trattamento può essere riconosciuta anche qualora gli interessati rischino di essere privati dei loro diritti e delle loro libertà o ne venga loro impedito l’esercizio.

A chi spetta l’onere della prova?

Il Regolamento e il Codice civile sono univoci sul punto affermando l’inversione dell’onere probatorio. Spetta dunque al titolare o al responsabile del trattamento dimostrare che: l’evento dannoso non è loro imputabile oppure di aver adottato tutte le misure idonee ad evitare il danno. Questa sorta di ” presunzione di colpevolezza” è da riscontrare nel fatto che il trattamento di dati personali ha un pericolo intrinseco nel tipo di attività svolta. Siffatti la normativa richiede che chi procede a trattare dati personali lo faccia con responsabilizzazione e maggiore cautela rispetto ad una attività non rischiosa.

Responsabilità penale

In merito alla responsabilità penale il Regolamento prevede che siano gli Stati membri a stabilire le norme relative agli illeciti penale. A tal riguardo, il legislatore nazionale è intervenuto adoperando un restyling dei cd. ” reati privacy”. Questo per due ragione: la prima, perchè alcune fattispecie che il Regolamento sanziona come amministrative erano punite come illeciti penali dal Codice Privacy. Dunque per non incorrere nella violazione del Ne bis in idem[5] , il legislatore ha ben pensato di ristrutturare totalmente le disposizioni del Codice Privacy; in secondo luogo sono state introdotte nuove fattispecie di reato che puniscono severamente violazioni del Regolamento.

I reati cosi’ come previsti dalla ristrutturazione adoperata dal decreto di armonizzazione puniscono:
– il trattamento illecito di dati personali, dati sensibili e di dati personali verso un paese terzo o un’organizzazione internazionale con pene fino a 3 anni di reclusione;
– la comunicazione e la diffusione illecita di dati personali anche con pene fino a 6 anni di reclusione nel caso di dati personali trattati su larga scala;
– acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala con pene fino a 4 anni di reclusione;
– la falsità nelle dichiarazione rese al Garante Privacy e l’interruzione dell’ esecuzione dei compiti o dell’ esercizio dei poteri del Garante con pene fino a 3 anni di reclusione;
– l’inosservanza dei provvedimenti del Garante fino a 2 anni di reclusione;
– violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori con l’ ammenda o con l’ arresto fino ad un anno.

Il quadro delle tre responsabilità serve a tutelare gli interessati, riconoscendogli tutele e mezzi di difesa adeguati, ed inoltre obbliga titolari e responsabili ad essere conformi al Regolamento e al Codice Privacy per non incorrere in sanzioni.

Volume consigliato

Note

(1)Regolamento EU 2016/679.
(2)D.lgs. 101/2018.
(3)Uno dei principi più importanti del Regolamento EU 2016/679 è “il principio di accountability”, che tradotto in italiano significa appunto ” responsabilizzazione” e ” rendicontazione”.
(4)I diritti degli interessati sanciti dagli artt. 13 – 22 del Regolameno EU 2016/679.
(5)E’ un principio del diritto secondo il quale nessuno può essere giudicato due volte per il medesimo fatto( anche detto “divieto del doppio giudizio”)

Dott. Postiglione Mario

Scrivi un commento

Accedi per poter inserire un commento