Regolamento Privacy UE: pro e contro del nuovo sistema sanzionatorio

multe_risarcimenti

Più spazio d’azione ai Garanti sulle sanzioni amministrative nel regolamento europeo sulla privacy: è quanto emerso al Privacy Day Forum, organizzato da Federprivacy a Roma il 13 ottobre 2016. Il Regolamento, operativo dal 25 maggio 2018, pone alcuni nodi interpretativi in merito al regime sanzionatorio. Se, infatti, alcune novità sono migliorative rispetto alla disciplina attuale, è indubbio che i massimi edittali, se risultano adeguati per le grandi aziende, negli altri casi possono sembrare sproporzionati.

Nel corso del Forum Federprivacy è, infine, emerso che i Garanti europei predetermineranno un minimo edittale unico in tutta Europa.

Le sanzioni amministrative previste dal regolamento europeo sulla privacy danno più spazio d’azione ai Garanti: nelle ipotesi lievi possono limitarsi a un ammonimento, senza strascichi pecuniari. La precisazione è emersa al Privacy Day Forum, organizzato da Federprivacy a Roma il 13 ottobre 2016, che ha visto la partecipazione di esponenti dell’autorità di controllo italiana e, in particolare dalla relazione di Claudio Filippi, Vice Segretario Generale e Dirigente del Dipartimento attività ispettive e sanzioni.

In effetti il Regolamento 2016/679 (operativo dal 25 maggio 2018) pone alcuni nodi interpretativi e, tra questi, alcuni riguardano l’apparato sanzionatorio.

In proposito si nota che il Regolamento prevede che circa la metà delle prescrizioni sia assistita da sanzioni amministrative, tra l’altro molto alte.

Nuovo sistema sanzionatorio

Ci sono due fasce: la prima ha come massimo edittale l’importo di 10 milioni di euro e la seconda 20 milioni di euro. Senza contare che tali cifre possono ulteriormente incrementarsi per le imprese, se si applica la sanzione in misura percentuale, pari rispettivamente al 2% o al 4% del fatturato mondiale globale annuo.

La misura percentuale si applica nel caso in cui sia superiore alla misura fissa.

La prima fascia si applica alla violazione degli obblighi:

– del titolare e del responsabile (artt. 8, 11, da 25 a 39, 42 e 43);

– dell’organismo di certificazione (artt. 42 e 43);

– dell’organismo di controllo (art. 41, paragrafo 4)

La seconda fascia si applica in caso di violazione dei:

– principi di base del trattamento, comprese le condizioni relative al consenso (artt. 5, 6, 7 e 9);

– diritti degli interessati (artt. da 12 a 22);

– trasferimenti di dati personali extra UE (artt. da 44 a 49);

– obblighi previsti dagli Stati nelle materie del capo IX (artt. da 85 a 91, ad esempio giornalismo, lavoro, ricerca scientifica, storica, statistica, segreto professionale);

– inosservanza di un ordine o di una limitazione del Garante o il negato accesso ai dati e ai locali (art. 58, c. 1 e 2).

Il regime sanzionatorio europeo si innesta in un quadro fortemente disomogeneo, ma la sintesi realizzata nell’articolato disorienta l’operatore italiano.

Raffronto rispetto alla situazione attuale

Ci sono alcune novità migliorative rispetto alla situazione odierna.

Il Codice della privacy italiano (D.Lgs. 196/2003) prevede che ad illecito commesso corrisponda necessariamente la sanzione pecuniaria.

Il regolamento europeo, invece, per le ipotesi di minore gravità ammette l’alternatività tra sanzione pecuniaria e ammonimento.

Nell’ambito dei poteri correttivi assegnati all’autorità di controllo, l’articolo 58 del Regolamento prevede che il Garante possa rivolgere ammonimenti al titolare o al responsabile del trattamento se i trattamenti abbiano violato le disposizioni del presente regolamento. Inoltre il medesimo articolo 58 aggiunge che il Garante possa infliggere una sanzione amministrativa pecuniaria in aggiunta alle misure sopra descritte o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso.

L’Autorità di controllo ha più possibilità di valutare il caso concreto, soppesando quegli eventi caratterizzati da minore meritevolezza di sanzione e minore rimproverabilità oggettiva e soggettiva.

La maggiore flessibilità si registra anche nei casi in cui si procede alla applicazione della sanzione pecuniaria.

In particolare si potrà valutare lo stato soggettivo e, quindi, tenere conto del fatto che il titolare del trattamento, ad esempio, è una piccola o media impresa.

Parametri per l’applicazione delle sanzioni

Anzi i parametri per l’applicazione delle sanzioni amministrative sono diventati addirittura undici (al posto degli attuali quattro previsti dall’ordinamento italiano).

Tra i parametri predetti si possono, tra gli altri, ricordare i seguenti:

– la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

– il carattere doloso o colposo della violazione;

– eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

– le categorie di dati personali interessate dalla violazione;

– la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione (data breach);

– l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.

Un problema, che si risolverà solo la prassi, sarà quello di verificare se l’autorità di controlli dovrà vagliare i parametri, tutti e undici, di ufficio motivando su ognuno di essi (anche qualora non rilevanti in concreto) o solo quelli che emergano dall’istruttoria. Si propende per questa seconda ipotesi di lavoro.

Tra i criteri si trova, come visto, anche la verifica di eventuali recidive, specifiche e non specifiche, e questo renderà necessario che il Garante istituisca un casellario delle sanzioni ammnistrative.

Il regolamento, in materia, assegna al Garante il compito di tenere registri interni delle violazioni del regolamento.

Considerazioni conclusive

Se alcuni dei punti indicati rappresentato un favor per il responsabile di illeciti amministrativi, è indubbio che i massimi edittali, se sono adeguati per colossi dell’economia mondiale, possono, negli altri casi, risultare sproporzionati se non draconiani.

Ed inoltre la mancata predeterminazione di una forbice ragionevole (tra minimo e massimo) espone a forti criticità la normativa europea, se letta con l’occhio delle garanzie costituzionali italiane.

La sanzione, anche quella amministrativa, deve essere prevista per legge e non può essere imprevedibile. Una sanzione che ha un minimo molto basso (ad esempio cento euro) e un massimo elevatissimo (10 milioni di euro) viola senz’altro il principio della prevedibilità della sanzione.

Altro aspetto critico è quello della individuazione delle priorità nella applicazione dei parametri di predeterminazione delle sanzioni.

In altre parole, ad esempio conta di più la gravità delle conseguenze o lo stato soggettivo del responsabile?

Su questi nodi fondamentali per l’applicazione dell’apparato sanzionatorio non è stato ancora raggiunto una posizione unica dei garanti europei.

In effetti il comitato, neoistituito organo di coordinamento, deve elaborare per le autorità di controllo linee guida riguardanti la fissazione delle sanzioni amministrative pecuniarie.

Nel corso del Forum Federprivacy è emerso che i garanti europei predetermineranno un minimo edittale unico in tutta Europa.

Sul punto si rileva che sarebbe opportuno che il minimo edittale sia fissato in maniera tale da rispettare il principio della prevedibilità della sanzione, distinguendo le diverse fattispecie astratte: non è congruo che tutti gli illeciti abbiano uno stesso minimo edittale. In caso contrario l’identità del minimo avrebbe effetto incentivante a commettere violazioni più gravi.

Articolo a cura dell’Avv. Antonio Ciccia Messina

 

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Advertisements