Si avvicina il 25 maggio, data in cui il GDPR, General Data Protection Regulation, regolamento europeo in materia di protezione dati personali n. 2016/679 – di cui abbiamo descritto l’ impatto nelle assicurazioni – sarà direttamente applicabile in tutti gli Stati membri. Da quel momento, tutte le aziende che non si sono adeguate alle nuove disposizioni andranno incontro alle sanzioni previste.
– qui il testo integrale in italiano del GDPR
Quali sono dunque queste sanzioni e chi ha l’autorità per comminarle?
In Italia l’autorità competente è il Garante della Privacy. Un lavoro immane quello che si troverà ad affrontare il Garante, poiché non si tratta di un controllo ‘una tantum’ , ma di una verifica costante nel tempo. “Detto controllo non si esaurisce in una mera verifica delle attività, né tantomeno è circoscrivibile in azioni poste in essere in un arco temporale definito, operando, l’autorità, in un ininterrotto e continuo rapporto di affiancamento, controllo e scambio di informazioni senza soluzione di continuità.” dice l’avvocato Catia Maietta in questo intervento su Agenda Digitale, in cui spiega i compiti del Garante “I compiti delle autorità, sul proprio territorio, sono indicati dall’art. 57 del Regolamento e prevedono attività estremamente ramificate e diversificate che pongono, in una fase iniziale, l’autorità fianco a financo con i titolari del trattamento e dei responsabili. Nel caso in cui da questa operatività e dall’esercizio dei predetti compiti, dovesse emergere la necessità di ulteriori approfondimenti, ossia nel caso in cui dovesse essere riscontrato un operato non conforme al Regolamento, all’autorità di controllo sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, nonché il potere di infliggere sanzioni amministrative pecuniarie.”
Il Garante ha anche la facoltà di infliggere sanzioni amministrative pecuniarie che possono giungere, in determinati casi, fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente.
“L’intento è, sostanzialmente, quello di imprimere un cambiamento e di intervenire con autorevolezza nel settore del corretto uso e trattamento dei dati personali, stante i contorni ancora sfumati della materia e tenuto conto del fatto che, per molti, rappresenta tuttora un argomento di difficile interpretazione, soprattutto relativamente al grande capitale, in termini di informazioni, presente nel trattamento dei dati personali. È certamente un potere enorme avere a disposizione i dati personali, soprattutto su larga scala, e lo si percepisce dall’utilizzo che negli ultimi anni si è fatto degli stessi per le finalità più disparate, ed è altrettanto indispensabile, quindi, che i singoli individui inizino a prendere coscienza e consapevolezza del valore dei propri dati, dell’uso che degli stessi viene e verrà sempre più fatto, nonché del potere della quantità e qualità di informazioni ricavabili dagli stessi.” dice sempre l’avvocato.
“In merito, invece, alla quantificazione delle sanzioni da applicare in relazione alle violazioni di cui ai paragrafi 4, 5 e 6 del Regolamento, esse vengono definite sulla base dei criteri di effettività, proporzionalità e dissuasività. Ciò lo si ricava dal primo capoverso dell’art. 83. Se, con i primi due caratteri, si è cercato di creare uno stretto legame tra conseguenze della violazione e sanzione da applicare, nel senso che tanto l’effettività quanto la proporzionalità rappresentano un ancoraggio tra evento e possibile misura della punizione, la dissuasività ha rappresentato, molto probabilmente, il criterio che ha indotto il legislatore ad inasprire l’intero assetto sanzionatorio nella misura in cui l’applicazione della sanzione debba essere percepita dall’azienda in maniera tanto pesante da indurla a non operare più attraverso determinate mancanze.”
Le sanzioni amministrative possono essere inflitte a persone fisiche, a soggetti giuridici privati o pubblici, specificamente ai titolari e i responsabili del trattamento, ovvero il DPO – Data Protection Officer oppure gli organismi di certificazione e di monitoraggio dei codici di condotta.
Le sanzioni penali
Il mancato adeguamento delle aziende al GDPR non comporta solo sanzioni amministrative, ma anche penali, che il GDPR ha comunque lasciato a una regolamentazione autonoma di ogni singolo Stato.
Il Considerando 149 del testo GDPR, recita “Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.” (ndr. ne bis in idem significa che non cipotrà essere per lo stesso fatto un doppio procedimento penale e amministrativo)
Nel nostro Paese il Gdpr andrà a integrarsi (e sostituire in parte) il Codice Privacy, che dovrebbe rimanere quello applicabile per le sanzioni penali. E’ infatti ancora al vaglio della ragioneria generale dello Stato il Decreto di adeguamento al Gdpr, che dovrà essere approvato entro il 21 maggio dal Consiglio dei ministri, ma prima deve ricevere il parere delle Commissioni parlamentari e del Garante Privacy.
Il Codice Privacy stabilisce sanzioni penali per il trattamento illecito dei dati, con pene che vanno da sei mesi a 18 mesi di reclusione e, in determinate condizioni, fino a tre anni. Resta anche la reclusione da sei mesi a tre anni per falsa dichiarazione di fronte al Garante privacy.
E’ importante ricordare che la responsabilità penale è sempre personale, mentre la sanzione amministrativa può essere comminata sia alla persona fisica che all’azienda.
Chi risponde delle violazioni?
Uno dei pilastri del Gdpr è il principio di accountability, che prevede la responsabilizzazione del titolare del trattamento nel “ mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento” (art.24 paragrafo 1).
Cioè, la responsabilità ex art. 24 del GDPR spetta sempre e solo al titolare.
Ma chi è il titolare del trattamento?
Secondo il Gdpr, art. 4, paragrafo 1, n. 7), il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. In sostanza si tratta della persona o dell’entità giuridica che decide sull’uso dei dati personali.
“Da questo principio di responsabilità del titolare – dice Franco Pizzetti, professore ordinario di Diritto Costituzionale – Facoltà di Giurisprudenza Università di Torino – discende tutto il sistema delle prescrizioni che riguardano le attività che questo deve svolgere fin dalla fase della progettazione dei trattamenti, che vanno dalla privacy by design alla privacy by default fino alla adozione delle misure adeguate a assicurare la sicurezza dei trattamenti. Tutte decisioni che spetta al titolare prendere sulla base della valutazione di rischio che deve compiere per definire quali siano le misure tecniche e organizzative da adottare in ragione dei rischi che il trattamento (processo) che vuole porre in essere può far correre ai diritti e alle libertà delle persone fisiche.
Il titolare del trattamento può delegare terzi della gestione dei dati: il responsabile del trattamento (nel Gdpr data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8).
Un esempio chiarificatore è quello delle società di web hosting che tipicamente gestiscono materialmente i dati, ma lo fanno per contro di aziende che sono gli effettivi titolari.
Le due figure si distinguono perché il titolare del trattamento conserva il potere decisionale, è colui che decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa. Naturalmente, le due figure possono anche coincidere nella stessa organizzazione.
Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento.
Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero danno, al fine di garantire l’intero risarcimento.
– Sul rapporto tra titolare e responsabile si legga questo articolo.
Il DPO, nuova figura introdotta dal Gdpr, non è invece personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa. Il titolare, quindi, potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO.