Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere

Un’analisi del quadro di responsabilità e del regime sanzionatorio derivante dal combinato disposto del GDPR, del decreto di armonizzazione delle leggi nazionali al Regolamento Ue e delle norme del Codice Privacy sopravvissute. Tutto quello che c’è da sapere

11 Set 2018

Rocco Panetta

avvocato, partner di Panetta & Associati e IAPP Country Leader per l’Italia


Come noto, il decreto di armonizzazione del Codice Privacy (d.lgs. 196/2003) e delle altre leggi nazionali al Regolamento europeo 679/2016 sulla protezione dei dati personali (GDPR), adottato l’8 agosto scorso, è stato pubblicato in G.U., con il numero 101/2018 ed entrerà in vigore il prossimo 19 settembre.

Uno degli aspetti più rilevanti del Decreto Legislativo 101/2018 è senz’altro quello del sistema sanzionatorio, non solo per l’evidente centralità che lo stesso riveste nel quadro della nuova normativa europea sulla protezione dei dati, ma anche perché il sistema di rinvii alle diverse disposizioni normative in esso contenute (ivi incluse quelle del d.lgs. 196/2003 che il legislatore ha scelto di non abrogare) comporta non poche difficoltà interpretative.

Appare quindi opportuno approfondire il tema, analizzando il regime sanzionatorio derivante dal combinato disposto del GDPR, del d.lgs.101/2018 e delle norme del Codice Privacy sopravvissute al decreto di armonizzazione.

Le sanzioni amministrative GDPR

Come noto, il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali.

In particolare, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative: nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di  importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti:

  • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
  • l’organismo di certificazione, Accredia;
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR);

Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni sopra citate, ai sensi dell’art. 15, co. 3 del d.lgs. 101/2018: lo stesso dovrà avere cura di valutare caso per caso le violazioni, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive (art. 83, co. 1 GDPR), tenendo in debito conto le circostanze di cui all’art. 83, co. 2 GDPR, ossia la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, ecc.

In alternativa o in aggiunta a queste, il Garante potrà comminare le altre sanzioni previste dall’art. 58, par. 2 GDPR. Ad esempio, in caso di violazione minore o se la sanzione pecuniaria costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto al trasgressore un ammonimento anziché imposta una sanzione pecuniaria (considerando 148 GDPR).

Non sarà semplice applicare tali sanzioni. La proporzionalità delle stesse, legata ai calcoli relativi al fatturato dei cosiddetti “undertakings” – è la traduzione in inglese della nozione di gruppo di imprese – non è facilmente parametrabile. Cosa significa “gruppo”? Ci sono gruppi di imprese omogenei, che operano in ambiti analoghi in diversi Paesi, e ci sono conglomerati, che legano al loro interno gruppi di imprese operanti in diversi ambiti industriali e merceologici. In che modo le sanzioni saranno applicate, notificate a multinazionali con sedi legali ed headquarters fuori dall’UE ed infine riscosse?

Il successivo art. 84, infine, lascia facoltà agli Stati membri di prevedere ulteriori sanzioni, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie di cui all’art. 83, a condizione che esse siano sempre effettive, proporzionate e dissuasive.

Proprio in virtù di tale facoltà, il d.lgs. 101/2018 ha apportato rilevanti modifiche alla Parte III, Titolo III del Codice Privacy, prevedendo ulteriori fattispecie di illeciti soggetti alle predette sanzioni amministrative di cui all’art. 83 del GDPR.

Il nuovo art. 166 del Codice Privacy infatti, prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati, 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto, 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemologica.

Il secondo comma dell’art. 166 prevede, invece, la più pesante sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante,  2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Sempre l’art. 167 prevede, inoltre, i principi e le modalità procedurali che il Garante dovrà rispettare nell’adozione dei provvedimenti sanzionatori, mentre è stata espressamente esclusa l’applicabilità delle suddette norme ai trattamenti svolti in ambito giudiziario.

D’altro canto, tutte le altre disposizioni del Codice Privacy che prevedevano sanzioni amministrative per violazioni di norme del Codice sono state abrogate dal Decreto: nello specifico, sono stati abrogati tutti gli articoli che componevano il Capo Primo della Parte III, Titolo III del Codice Privacy (artt. da 161 a 165), fatta eccezione per l’art. 166 sopra esaminato, che è stato mantenuto con le modifiche di cui sopra.

Le sanzioni penali GDPR

Con riguardo alle sanzioni penali, se da un lato il GDPR non ne prevede direttamente, lo stesso ammette dall’altro lato la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR, nonché violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento (Considerando 148).

Anche in questo caso è intervenuto il Decreto, modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy ed integrando le stesse con ulteriori violazioni.

Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:

  • 167 (Trattamento illecito dei dati)
  • 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
  • 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
  • 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
  • 170 (Inosservanza dei provvedimenti del Garante);

Decreto GDPR e sanzioni penali, ecco che cambia

Devo segnalare, per completezza, l’abrogazione dell’art. 169 (che, in virtù del nuovo principio di accountability introdotto dal GDPR non aveva più ragion d’essere), nonché la parziale modifica dell’art. 171 (ora rubricato “Violazioni delle disposizioni in materia dei controlli a distanza e indagini sulle opinioni dei lavoratori”), per la cui violazione permangono comunque le sanzioni di cui all’art. 38 dello statuto dei lavoratori (L. 300/1970), e dell’art. 172.

Perdonerete il tecnicismo di queste pagine, ma lo scenario si è di molto complicato e poiché il dado è tratto, non è più tempo di scriver in punto di politica del diritto o programmaticità della norma, ma è ora necessario indicare le rilevanti novità e le criticità che esse recano.

A tal riguardo, ad esempio, il legislatore ha ritenuto opportuno estendere l’applicabilità delle sanzioni penali non solo ai casi in cui si accerti il dolo dell’agente volto a trarre per sé o per altri profitto (come era previsto ante riforma), ma anche ai casi in cui l’agente abbia agito allo scopo di arrecare ad altri un danno (ciò in relazione, nello specifico, agli articoli 167, 167-bis e 167-ter del Codice).

Chi risponde delle violazioni

A questo punto occorre considerare che spesso si ritiene che l’unica persona tenuta a rispondere della sanziona amministrativa sia sempre solo e soltanto il titolare del trattamento (da intendersi come l’entità nel suo complesso), al responsabile del trattamento non è pertanto mai attribuibile l’illecito amministrativo?

In tali casi l’Autorità deputata all’accertamento dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale venga effettuata al contravventore e al responsabile in solido, in tal modo la stessa viene non di rado contestata per esempio al titolare del trattamento e al responsabile del trattamento, nella misura in cui sussista un formale atto di designazione e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.

Inoltre, merita di essere portato all’attenzione del lettore che l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, questo ha risvolti particolarmente rilevanti sul piano operativo.

Il passaggio merita una breve riflessione, mentre l’art. 167 sul trattamento illecito è un reato a dolo specifico e richiede anche che ricorra il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa è pertanto sufficiente che non vi sia un consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.

Per esempio di recente con riguardo all’inidoneità dell’informativa relativa ad un impianto di videosorveglianza il Garante ha contestato tale violazione sia al titolare del trattamento (una società editrice) in qualità di responsabile in solido, sia alla persona fisica che era stata designata in qualità di responsabile del trattamento dei dati rispetto al trattamento dei dati personali relativi alle immagini registrate [1].

Il caso citato non rappresenta certo una rarità nel quadro degli accertamenti e mette certamente in evidenza come un inadempimento grave da parte del responsabile del trattamento possa comportare responsabilità non solo sul titolare.

A tale riguardo diversi articoli del regolamento europeo rafforzano gli obblighi generali e di sicurezza del trattamento in capo al responsabile del trattamento, dagli articoli 28 e 30 all’art. 33 sulla notificazione della violazione dei dati, infine, l’articolo 83, lettera d) dando rilevanza al grado di responsabilità tra titolare e responsabile rende esplicita l’attribuzione anche al responsabile dell’illecito amministrativo.

Le responsabilità del RPD o DPO

In relazione all’individuazione del soggetto chiamato a rispondere delle violazioni della normativa privacy, il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito.

Conseguentemente, qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento sarà chiamato a rispondere, in solido, per la totalità̀ del danno, salvo dimostri che l’evento dannoso non gli sia imputabile e fermo restando, in ogni caso, il diritto di proporre un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nel medesimo trattamento.

Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Ciò premesso, la norma chiarisce che un titolare del trattamento risponde per il danno cagionato dal trattamento che violi il presente regolamento, mentre il soggetto nominato responsabile del trattamento ai sensi dell’art. 28 GDPR risponde solo in caso di inadempimento degli obblighi del GDPR specificatamente diretti ai responsabili del trattamento ovvero qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Il contratto stipulato tra titolare e responsabile proprio per dirimere tutti gli aspetti relativi alla nomina di questi nell’ambito di uno o più trattamenti di dati dovrebbe essere la sede adatta anche per prevedere allocazioni preventive di responsabilità e delle eventuali azioni rimediali.

Quanto, infine, alla responsabilità del “Data Protection Officer”, si evidenzia che lo stesso ha certamente responsabilità contrattuali nei confronti del titolare del trattamento, ma non potrà essere responsabile nei confronti degli interessati in caso di inosservanza degli obblighi in materia di protezione dei dati personali.

Ricordiamolo ancora una volta: tale responsabilità resta in capo al titolare e non è in alcun modo delegabile, anche in virtù del principio di accountability: è il titolare che deve essere in grado di dimostrare la liceità del trattamento e la non imputabilità alla propria condotta di eventuali danni a terzi per poter evitare di incorrere nelle sanzioni sopra illustrate.

Le sanzioni in concreto applicabili

Nelle complesse e delicate fasi che hanno preceduto la pubblicazione in G.U. del d.lgs. n. 101/2018, si sono succedute diverse fughe di notizie e informazioni allarmanti fatte circolare dai sempre “ben informati” che hanno amici nei posti giusti. L’effetto è stato devastante, soprattutto perché sui giornali sono circolate voci incontrollate di una sospensione dell’attività ispettiva e sanzionatoria del Garante da prevedersi per legge, il tutto nelle stesse ore in cui il Garante rendeva pubblico il piano ispettivo per l’anno in corso, depotenziando, nei fatti l’azione preventiva e dissuasiva dell’Autorità.

Niente di più falso e fuorviante. Nei primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali – dice la legge – terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie (art. 22 co. 13 del Decreto).

La norma in questione – è bene ribadirlo – non significa affatto che il Governo abbia approvato né una moratoria né che abbia introdotto un grace period. Infatti, ogni modifica al GDPR da parte degli Stati nazionali sarebbe semplicemente priva di efficacia. Il GDPR è legge dal 2016, si applica dal 25 maggio del 2018 ed il decreto in parola non lo modifica in nulla, introducendovi solamente norme utili per meglio applicarlo e rendere il nostro ordinamento giuridico ad esso conforme. Non il viceversa.

Quanto all’efficacia delle disposizioni del GDPR, le stesse avranno effetto retroattivo, ma le sanzioni applicabili alle fattispecie di illeciti penali abrogate e sostituite con le sanzioni pecuniarie di cui al GDPR non potranno essere di misura superiore all’importo precedentemente previsto dal Codice Privacy (art. 24 del Decreto).

Infine, per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice Privacy, non ancora definiti con l’adozione dell’ordinanza-ingiunzione, al trasgressore sarà offerta, ai sensi dell’art. 18 del Decreto, la possibilità di avvalersi di una sorta di condono, a fronte del pagamento in misura ridotta di un somma, pari a due quinti del minimo edittale, da corrispondersi entro un breve lasso di tempo (entro cioè novanta giorni dalla data di entrata in vigore del Decreto).

C’è tanto da comprendere, metabolizzare e mettere in campo misure idonee a non incorrere mai nel rischio sanzione. È questa la sfida che il legislatore comunitario e nazionale lancia ad aziende e PA. e soprattutto a quanti operano, come professionisti nel settore della consulenza ed assistenza privacy, in primis i DPO.

Articolo 1 di 4