regolamento protezione dati

GDPR, perché disubbidire costerà caro alle aziende e non ci saranno scorciatoie

Una parte importante del GDPR riguarda le modalità e i soggetti a cui spetta fissare sanzioni e risarcimenti per le violazioni. A ottobre i Garanti Ue hanno adottato le guidelines per stabilire criteri comuni. Le multe possono arrivare fino a 10 mln e anche da Paesi diversi da quello dell’azienda

20 Nov 2017
privacy_125855486

Una parte molto importante del nuovo GDPR riguarda le modalità e i soggetti a cui spetta adottare provvedimenti di natura sanzionatoria o risarcitoria per violazioni del Regolamento.

L’importanza è data dal fatto che il GDPR contiene regole comuni che devono essere applicate in modo uniforme in tutto il territorio dell’Unione.

Per questo il Gruppo dei garanti europei, avvalendosi del potere previsto dall’art.70 lettera k) di elaborare per le Autorità di controllo “linee guida riguardanti l’applicazione delle misure previste dall’art. 58 (poteri delle Autorità di controllo) e dall’art. 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie), ha adottato il 3 ottobre 2017 la opinion n. 253 contenente “Guidelines on the application and setting of administrative fines for the puroposes of the Regulation 2016/679”.

Lo scopo delle Linee guida è di fornire a tutte le Autorità nazionali una lettura comune dei criteri contenuti nell’art.83 ai fini di decidere, “caso per caso” e “situazione per situazione” quali sanzioni applicare e di quale ammontare. Esse tengono conto inoltre dell’art.58 del GDPR che consente alle Autorità anche di adottare provvedimenti non sanzionatori, dare raccomandazioni, definire obblighi che titolari e responsabili del trattamento sono tenuti a seguire.

Il parere n. 253 ha l’obiettivo di garantire che le Autorità, sia rispetto ai provvedimenti non sanzionatori che alle sanzioni previste dai paragrafi 4 e 5 dell’art. 83, seguano criteri comuni che assicurino che disposizioni identiche siano applicate in modo uniforme da parte delle Autorità di controllo.

Si tratta di un parere molto importante per molte ragioni.

Le sanzioni che possono essere comminate vanno fino a dieci milioni di euro o un 2% del fatturato mondiale annuo di impresa, nei casi previsti dal par.4, e fino a venti milioni di euro o il 4% del fatturato mondiale annuo, nel caso del par.5. Dunque è molto importante che i criteri previsti dalle norme siano applicati in modo uniforme in tutto il territorio UE.

La seconda ragione dell’importanza di questo parere è che il reclamo di un interessato contro un trattamento che considera illegittimo può essere fatto sia all’Autorità del Paese in cui il titolare o il responsabile del trattamento hanno lo stabilimento, sia all’Autorità del Paese in cui ha cittadinanza l’interessato.

È evidente che anche la possibilità di reclamo nei confronti di diverse Autorità giustifica il potere riconosciuto dall’art. 70 lettera k) di dettare linee guida vincolanti per l’emanazione di provvedimenti ex art. 58 e l’applicazione delle sanzioni ex art.83. Si tratta infatti di evitare che l’interessato sia incentivato a scegliere di presentare reclamo all’Autorità che, a suo giudizio, segue le prassi provvedimentali e sanzionatorie più efficaci per la tutela dei suoi interessi.

Questo sforzo per omogeneizzare l’attività di enforcement delle Autorità comporta anche che le imprese non possano più essere certe che l’Autorità eventualmente chiamata a controllare e sanzionare la loro attività sia sempre quella nazionale, della quale può essere in astratto più facile pensare, a torto, di poter prevedere i comportamenti.

Il parere n. 253 rafforza dunque in modo decisivo l’importanza di una normativa europea di protezione dati uniforme per il sistema delle imprese europee.

Questo significa che è assolutamente sconsigliabile che un’impresa scelga, magari in base a esperienze del passato, di fare una valutazione probabilistica relativa a quanto possa costare adempiere agli obblighi del GDPR e quanto possa costare, invece, una sanzione comminata per non aver adempiuto.

L’alternatività potenziale delle Autorità, accompagnata dalle regole stringenti poste dalle Linee guida del Gruppo dei garanti europei adottate sulla base dell’art. 70, spinge a un rapido allineamento su standards europei sia con riguardo alle sanzioni da applicare che all’esercizio degli altri poteri assegnati alle singole Autorità dall’art. 58 del GDPR che non si risolvono automaticamente in una attività sanzionatoria.

In sostanza le nostre impese devono assolutamente evitare di farsi spaventare troppo dall’apparato sanzionatorio e provvedimentale che gli art. 58 e 83 riconoscono alle Autorità. Allo stesso tempo, però, devono evitare di cadere nella tradizione tutta italiana del: “io, speriamo che me la cavo”.

Da un lato, l’Autorità italiana dovrà adeguarsi alle medesime prassi delle altre Autorità europee e operare sulla base degli standard e dei criteri già fissati dal parere n. 253. Da un altro lato, nessuna impresa che non operi unicamente e soltanto nel contesto locale, senza clienti e fornitori in altri Paesi, può essere certa che eventuali trattamenti difformi dal Regolamento non siano oggetto di reclamo da parte di interessati residenti in altri Paesi.

Il quadro relativo all’enforcement posto a tutela del GDPR non si esaurisce però solo nel potere di reclamo da parte dell’interessato all’Autorità di cui all’art. 77, né nei poteri di controllo e di sanzione degli art. 58 e 83 che possono, e in molti casi devono, essere esercitati anche senza attendere il reclamo di un interessato.

Il GDPR contiene due norme che disciplinano esplicitamente il diritto di ricorso alla Autorità giudiziaria.

La prima, contenuta nell’art.78, riconosce non solo all’interessato ma a “ogni persona fisica o giuridica” il diritto di poter proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’Autorità di controllo che li riguarda.

Si tratta dunque di una norma che può essere usata non soltanto dall’interessato o dal titolare o responsabile, ma anche da qualunque persona fisica o giuridica che si senta lesa da una decisione giuridicamente vincolante dell’Autorità di controllo.

Un motivo in più perché le imprese non pensino che l’orizzonte del giudizio o controllo sui loro comportamenti e le loro eventuali violazioni si esaurisca nel raggio dell’Autorità di controllo.

Va da sé, inoltre, che se la decisione fosse stata assunta da una Autorità diversa da quella nazionale, a seguito di un reclamo presentato da un cittadino dello Stato al quale essa appartiene, anche il ricorso giurisdizionale dovrebbe essere presentato presso la giurisdizione di quel Paese.

Un altro motivo che conferma quanto sia rischioso col nuovo GDPR contare su una applicazione solo nazionale delle nuove norme comuni europee.

Inoltre va tenuto presente che il potere di ricorso non è più limitato al solo interessato o al titolare o responsabile colpito della decisione ma si estende a una platea potenzialmente ampia che, specialmente pensando alle nuove tecnologie legate ad AI e IoT, può diventare amplissima.

Anche sotto questo profilo, dunque, la raccomandazione più utile da fare alle nostre imprese è di evitare ogni scorciatoia finalizzata a una sostanziale disapplicazione o applicazione bord line del GDPR.

I rischi che si corrono sono davvero troppo alti e sconsigliano caldamente dal mettersi su questa via.

Il quadro va completato con riferimento ad altre due disposizioni finora assai poco sottolineate dai commentatori.

La prima disposizione è contenuta nell’art. 80 e consente che un interessato possa dare mandato a “un organismo, un’organizzazione o un’associazione senza scopo di lucro…” di proporre reclamo per suo conto all’Autorità di controllo o di ricorrere al giudice contro la decisione dell’Autorità.

A questo va aggiunto che il secondo paragrafo del medesimo articolo prevede che spetta agli Stati membri decidere se e in quali caso tali organi o organismi potranno agire anche senza mandato dell’interessato.

È evidente che questa disposizione, vincolante nel primo paragrafo, rimessa agli Stati, nel secondo, prefigura forme di tutela forte degli interessati. Essa infatti consente (e favorisce) forme di azione collettiva in grado di limitare il disequilibrio che troppe volte nel passato si è verificato tra interessati economicamente e numericamente “deboli”, e titolari e responsabili economicamente e organizzativamente “forti”.

Dunque è bene che le imprese prendano buona nota che anche sul terreno del potenziale disequilibrio di forza tra impresa e reclamante o ricorrente lo “spazio di resistenza” si fa assai più ristretto. Per contro la tutela assicurata ai reclamanti e ricorrenti si traduce anche in una forte tutela al rispetto pieno e integrale del GDPR.

La seconda disposizione che è bene le imprese abbiano sempre presente è contenuta nell’art.82 e riguarda il diritto riconosciuto a “chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento” di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.

Il risarcimento del danno va ovviamente chiesto all’autorità giudiziaria competente, e anche in questo caso è data al ricorrente la scelta tra l’autorità giudiziaria del Paese in cui il titolare o il responsabile hanno lo stabilimento e quella del Paese dove il ricorrente risiede.

Il risarcimento del danno così configurato, esteso a chiunque lamenti un danno materiale o immateriale e azionabile anche davanti all’autorità giudiziaria dello Stato dove si risiede, costituisce dunque una ulteriore spinta a pretendere estremamente sul serio il GDPR.

Una raccomandazione che è bene fare con forza, giacché ormai anche la magistratura italiana, ma molto di più quella degli altri Paesi UE, è entrata nell’ordine di idee che trattamenti illeciti di dati personali possono provocare effettivi danni materiali e immateriali che devono esser risarciti in ragione della violazione di legge che li ha causati e applicando le tradizionali regole legate al risarcimento del danno.

Solo per aprire uno spiraglio sul futuro e sull’enorme efficacia che anche una norma di questo genere ha, e di più potrà avere in avvenire, si pensi alla responsabilità per danno provocata da programmi che, trattando illecitamente (anche solo per mancanza di informazione) i dati personali, spingano robot, o cose tra loro connesse, a provocare danni anche solo immateriali a una persona fisica o giuridica.

Concludendo si può dire che queste norme dovrebbero far comprendere a tutti, imprese, consulenti, DPO, che la protezione dei dati personali è ormai un settore di importanza centrale non solo a tutela dei diritti fondamentali della persona ma a tutela della società nel suo complesso. Per questo, ogni violazione e ogni ritardo nell’attuazione di questo Regolamento può costare davvero moltissimo alle imprese.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati