Nuovo Codice Privacy: nessuna moratoria sulle sanzioni pecuniarie

Email concept.

Dal 25 maggio 2018 è diventato pienamente applicabile il Regolamento UE 2016/679 che prevede due tipologie di sanzioni amministrative:
– fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
– fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Tuttavia l’art. 22 del D.Lgs. n. 101/2018 che adegua il Codice Privacy al GDPR prevede che per i primi otto mesi dalla sua entrata in vigore (19 settembre 2018), il Garante per la protezione dei dati personali tenga conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.

Sospensione delle sanzioni amministrative?

Molti commentatori, alla vigilia della pubblicazione hanno ritenuto che la previsione di cui al citato articolo 22 comporti una sospensione delle sanzioni che, quindi, non verrebbero applicate fino a maggio 2019.

Tuttavia la lettura della norma porta a ritenere che non ci sia alcuna moratoria ma bensì viene solo previsto che il Garante tenga presente le difficoltà che derivano dall’applicazione delle nuove norme.

Quindi, a parere di chi scrive, il Garante potrà, laddove ci siano i presupposti, nei prossimi otto mesi optare per l’applicazione delle misure di cui all’art. 58, paragrafo 2, lettere da a) ad h) e j) del Regolamento, in luogo delle sanzioni amministrative.
Sanzioni e altre misure adottabili dal Garante

A tal proposito si rammenta che le sanzioni amministrative pecuniarie saranno inflitte dal Garante in funzione delle circostanze di ogni singolo caso, in aggiunta o in luogo, delle seguenti misure di cui al citato art. 58:
– avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possano verosimilmente violare le disposizioni del regolamento;
– ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del regolamento;
– ingiunzione al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal regolamento;
– ingiunzione al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
– ingiunzione al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
– imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
– ordine di rettifica, cancellazione di dati personali o limitazione del trattamento e notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
– revoca della certificazione o ingiunzione all’organismo di certificazione di ritirare la certificazione rilasciata, oppure ingiunzione all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
– ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Criteri di valutazione delle violazioni

A quanto sopra si aggiunge che, ai sensi dell’art. 83 del GDPR, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, il Garante dovrà tenere debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito
b) il carattere doloso o colposo della violazione
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi
g) le categorie di dati personali interessate dalla violazione
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione
i) qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti
j) l’adesione ai codici di condotta approvati o ai meccanismi di certificazione approvati;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Conclusioni

Quindi, a parere di chi scrive, è possibile immaginare che qualora:
– la violazione non sia grave
– non ci sia dolo o colpa nella violazione
– non ci sia danno per l’interessato o comunque il titolare o il responsabile del trattamento abbiano adottato le misure necessarie per attenuare il danno subito dagli interessati
– il titolare del trattamento o il responsabile del trattamento abbiano messo in atto misure tecniche ed organizzative per adeguarsi al GDPR,
sia possibile per il Garante non elevare sanzioni amministrative, ma solo richiamare, ammonire o ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del regolamento in una determinata maniera ed entro un determinato termine.

Al contrario è difficile immaginare che le sanzioni non siano elevate qualora il titolare o il responsabile del trattamento non abbiano fatto nulla per adeguarsi al Regolamento UE 2016/679 o, peggio ancora, non abbiano mai fatto nulla e, quindi, non siano neanche in regola con le norme di cui al Codice Privacy prima dell’adeguamento al GDPR.
Reclami e segnalazioni al Garante

Per una trattazione più completa dell’argomento si evidenzia che chiunque può presentare al Garante per la protezione dei dati personali un reclamo o fare una segnalazione.

Il reclamo può essere presentato dall’interessato qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati e deve contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto.

Il reclamo deve recare, inoltre, in allegato la documentazione utile ai fini della sua valutazione.

Per quanto concerne le segnalazioni, occorre tener presente che il Garante può valutarle anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento sopra elencati che, comunque, possono essere adottati anche d’ufficio.

(fonte IPSOA – Rossella Schiavone)

Questa voce è stata pubblicata in Privacy e contrassegnata con , , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...