Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

GDPR, che cosa rivelano le prime sanzioni: ecco le scelte delle autorità di controllo

Le autorità di controllo -garanti privacy ue – hanno finora tenuto un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del Gdpr, come del resto previsto dallo stesso regolamento, che stabilisce che le sanzioni debbano essere in ogni caso effettive, proporzionate e dissuasive

27 Mar 2019

Giacomo Conti

Avvocato del foro di Milano e Presidente del Collegio dei Probiviri dell’Associazione Nazionale e Presidente del Collegio dei Probiviri dell’Associazione Nazionale per la Protezione dei Dati

Giordano Serra

Praticante avvocato - Consulente Legale d'impresa


Dall’analisi delle prime sanzioni amministrative Gdpr emerge con chiarezza l’approccio scelto dai Garanti privacy in Europa: non vogliono punire eccessivamente i titolari, perché lo scopo è garantire un’applicazione graduale e progressiva del Regolamento europeo e di guidare le aziende in questo senso.

Entriamo nel dettaglio per una migliore comprensione.

Le sanzioni nel regolamento

Da una prima lettura dell’art. 83 GDPR emerge come una sanzione pecuniaria possa ammontare fino a dieci milioni di euro o, per le imprese, al 2% del fatturato annuo mondiale dell’esercizio precedente. Nelle ipotesi più gravi tuttavia, ad esempio nel caso di inosservanza dei principi base del trattamento, dei diritti degli interessati, delle disposizioni in tema trasferimento dei dati personali in Paesi terzi o verso organizzazioni internazionali, di un ordine correttivo dell’autorità di controllo, di una limitazione provvisoria o definitiva delle attività di trattamento o, da ultimo, di un ordine di sospensione dei flussi da parte dell’Autorità di controllo, la sanzione amministrativa può anche raggiungere il doppio dei predetti importi.

La paura di un’applicazione eccessivamente punitiva delle sanzioni da parte delle Autorità garanti è, tuttavia, accompagnata da una cattiva interpretazione del GDPR, delle posizioni prese dall’ex Working Party art. 29 (ora EDPB) e dello stesso dato letterale dell’art. 83, il quale stabilisce che le sanzioni debbano essere in ogni caso effettive, proporzionate e dissuasive, tenuto conto di parametri obiettivi, inerenti generalmente alla gravità dell’illecito accertato e sanzionato, nonché soggettivi, riguardanti le caratteristiche personali del soggetto che ha realizzato il fatto accertato.

In tal senso, è da osservare come il Considerando 148 accordi alle diverse Autorità garanti il potere discrezionale di sostituire la sanzione pecuniaria con un ammonimento “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica”.

Già da un esame superficiale del dato normativo emerge come venga incoraggiato un ricorso allo strumento sanzionatorio “ponderato” ed “equilibrato” che tenga conto della natura, della gravità e della durata della violazione, così come di altri elementi quali il carattere doloso della violazione, le misure adottate per attenuare il danno subito, il grado di responsabilità o eventuali precedenti violazioni pertinenti, la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, il rispetto dei provvedimenti disposti nei confronti del titolare o del responsabile del trattamento, l’adesione a un codice di condotta ed eventuali altri fattori aggravanti o attenuanti.

I poteri correttivi accordati alle Autorità

A maggiore conferma del fatto che le sanzioni non dovrebbero avere carattere vessatorio, il GDPR accorda alle Autorità di controllo numerosi poteri correttivi e monitori, come quelli di:

  • rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti realizzati possano violare o avere violato il GDPR
  • ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine
  • ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali.
  • imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento
  • ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali.
  • revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti.
  • infliggere una sanzione amministrativa pecuniaria in aggiunta alle misure correttive.
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Gli strumenti sopra indicati sono indispensabili ed imprescindibili per assicurare il rispetto del GDPR e, infatti, le diverse Autorità garanti ne fanno largo ricorso.

Da un esame organico del dato normativo emerge, pertanto, come i poteri dell’autorità di controllo siano di natura variegata e come spesso la sanzione, e più in generale i poteri delle Autorità di controllo, abbiano una funzione molto spesso sottovalutata tra gli interpreti, ossia quella di guidare titolari e responsabili di trattamento, in un’ottica general e special preventiva, verso una corretta applicazione della normativa.

Le linee guida del WP29 e la posizione del Garante italiano

Sul tema inoltre, il Comitato europeo per la protezione dei dati ha pubblicato a ottobre 2017 le Linee Guida in materia di sanzioni amministrative previste dal Reg. 2016/679/EU che forniscono imprescindibili coordinate interpretative ad Autorità di controllo ed interpreti per fare chiarezza sull’applicazione delle sanzioni.

In primo luogo, le Linee Guida temperano i rigori, almeno apparenti, dell’art. 83 GDPR, stabilendo che, una volta accertata la violazione del Regolamento dopo aver valutato i fatti del caso, l’Autorità di controllo competente deve individuare le misure correttive più appropriate per affrontare tale violazione.

Viene, pertanto, definitivamente superato il paradigma, da molti erroneamente elaborato, secondo il quale “violazione” = “applicazione di sanzione pecuniaria”.

In questo senso, le Autorità di controllo devono osservare dei rigorosi principi cui devono uniformarsi, la cui violazione espone il provvedimento ad un rischio di censura in sede giudiziale. In questo senso, la nozione di “illecito amministrativo di natura sostanzialmente penale” è stata ampiamente recepita dalla Giurisprudenza delle Corti Europee e anche dalle Corti Costituzionali dei diversi Stati Membri.

La Corte EDU ha, infatti, riconosciuto natura sostanzialmente “penale”, ai sensi degli artt. 6 e 7 CEDU, di molte sanzioni tradizionalmente qualificate come amministrative che, ove eccessive e, per l’effetto impugnate, verrebbero sicuramente riformate in sede di impugnazione giudiziale del provvedimento.

Il principio di equivalenza della sanzione esige che le Autorità di controllo debbano applicare sanzioni equivalenti per “prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno”.

In questo senso, occorre che tutte le diverse Autorità seguano un approccio armonizzato alle sanzioni amministrative pecuniarie mediante partecipazione e frequente scambio di informazioni.

In secondo luogo, le sanzioni devono, in questo senso, essere “effettive, proporzionate e dissuasive” e parametrate al caso concreto, con la consapevolezza che una determinazione più precisa dei concetti di efficacia, proporzionalità e dissuasività verrà determinata da un’evoluzione della prassi delle Autorità Garanti e dalla giurisprudenza.

Inoltre, una corretta applicazione della sanzione presuppone una valutazione “in ogni singolo caso” della violazione sulla base di una valutazione ponderata ed equilibrata, al fine di reagire – giova ripeterlo – in maniera effettiva, dissuasiva e proporzionata alla violazione.

In questo senso tuttavia, il WP precisa come le sanzioni pecuniarie non debbano intendersi necessariamente quali misure di ultima istanza, né come si debba evitare di irrogarle tout court, ma come le stesse vadano applicate attraverso modalità che non ne pregiudichino l’efficacia, effetto che verrebbe inevitabilmente mortificato ove la sanzione risultasse essere eccessivamente punitiva, al pari che se la stessa fosse troppo lieve.

Fattori obiettivi per determinare il quantum della sanzione

Per determinare il quantum della sanzione occorre tenere in considerazione un numero di fattori obiettivi che caratterizzano la violazione sanzionata, fra cui il numero di interessati, tenendo presente anche le possibili ripercussioni che, a livello di impatto, si produrrebbero nei loro confronti.

In secondo luogo, occorre stabilire se la violazione rappresenta un evento isolato, se sia sintomo di una violazione sistemica oppure cagionata dall’assenza di prassi adeguate a garantire il rispetto della normativa in tema di dati personali.

In ogni caso, la circostanza che si tratti di eventi isolati non comporta necessariamente che le violazioni non debbano considerarsi non punibili o non sanzionabili a livello pecuniario, in quanto un evento isolato potrebbe pur sempre ripercuotersi su molti interessati.

Per determinare la sanzione, ad esempio, si dovrà avere riguardo del numero totale di soggetti registrati nella banca dati in questione, del numero di utenti di un servizio, dal numero di clienti, nonché delle finalità del trattamento realizzato.

Inoltre, se gli interessati hanno subito un danno, occorre considerare l’entità di questo, specie se il trattamento dei dati personali può generare potenziali rischi per i diritti e le libertà personali[1].

Ulteriori elementi obiettivi da adottare, infine, riguardano la mancata adozione di misure preventive appropriate e/o l’incapacità di attuare le misure tecniche e organizzative richieste.

In questo senso, anche l’Autorità Garante italiana ha specificato come: “Il Regolamento delinea un sistema sanzionatorio alquanto articolato.”

In questo senso, il GDPR configura la sanzione amministrativa come una delle possibili “reazioni” e non certo l’unica dell’ordinamento all’illecito, da applicarsi secondo un approccio gradualistico, congiuntamente o alternativamente alle ulteriori misure inibitorie e prescrittive.

La scelta in ordine all’an della sanzione deve fondarsi sugli stessi parametri indicati dal Regolamento per la commisurazione infraedittale della sanzione pecuniaria (gravità dell’illecito desunta anche dal danno che ne sia derivato, elemento soggettivo, eventuale ravvedimento operoso o, al contrario, recidiva, categorie di dati interessate dalla violazione, adesione a codici di condotta o sistemi di certificazione, cooperazione con l’autorità di controllo ecc.).

La norma fornisce già, dunque, elementi sufficienti per distinguere gli illeciti in ragione della loro gravita, ai fini della scelta tanto sull’an quanto sul quantum della sanzione[2].

Elementi soggettivi per determinare il quantum della sanzione

In sede di determinazione del quantum è dirimente, altresì, valutare il carattere intenzionale o meno della condotta sanzionata.

In generale, il concetto di “dolo” implica sia la consapevolezza che l’intenzionalità di realizzare la violazione. Per contro, l’illecito è “colposo” quando manca l’intenzione di causare una violazione, che deve essere provocata dalla mancata osservazione di una norma cautelare che imponga di astenersi dal porre in essere determinate condotte.

Ça va sans dire che una violazione dolosa del GDPR assume sicuramente una rilevanza maggiore rispetto a una violazione colposa in quanto, sicuramente dotata di maggiore disvalore sociale.

Sono indicative del carattere doloso di una violazione, ad esempio, il trattamento illecito autorizzato esplicitamente dall’alta dirigenza del titolare del trattamento, oppure effettuato nonostante i pareri contrari del responsabile della protezione dei dati, oppure ancora ignorando le politiche esistenti, ottenendo e trattando dati relativi ai dipendenti di un concorrente con l’intento di screditare tale concorrente sul mercato.

Sono elementi indicativi della sussistenza di un dolo, altresì, la modifica di dati personali per dare un’impressione fuorviante (positiva) circa il conseguimento degli obiettivi, lo scambio di dati personali con finalità di marketing, ossia vendita di dati come “approvati” senza verificare o ignorando il parere degli interessati circa le modalità di utilizzo dei propri dati.

Per contro, la mancata lettura e non rispetto delle politiche esistenti, l’errore umano, la mancata verifica dei dati personali nelle informazioni pubblicate, l’incapacità di apportare aggiornamenti tecnici in maniera puntuale, la mancata adozione delle politiche – invece della semplice mancata applicazione – possono essere interpretate come sintomo di “semplice” negligenza.

Tuttavia, è bene precisare come la mancata adozione di strutture e risorse idonee alla natura e alla complessità della propria attività non possa giustificare il carattere colposo della violazione, con la conseguenza che i titolari e i responsabili del trattamento non possono legittimare eventuali violazioni della normativa sulla protezione dei dati appellandosi alla carenza di risorse.

Da ultimo, il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi è un evidente indice di buona fede, la quale può portare a escludere pacificamente il carattere doloso della sanzione e, per gli effetti, ridurre significativamente l’importo della stessa[3]. Si pensi al caso in cui il titolare abbia risposto senza ritardo alle richieste dell’Autorità di controllo durante la fase inquirente, limitando in maniera significativa le ripercussioni sulle persone coinvolte nella violazione.

Ugualmente rilevante è la modalità attraverso la quale l’Autorità di controllo ha preso conoscenza della violazione: in presenza di un rischio per l’interessato, il titolare deve osservare puntualmente i doveri che impongono di procedere con la notifica della violazione all’Autorità, la quale potrebbe, in ogni caso, venire a conoscenza della violazione in seguito a indagini, reclami, articoli di giornale, suggerimenti anonimi senza il coinvolgimento del titolare di trattamento.

Il mero adempimento dell’obbligo di notifica non è bastevole, tuttavia, a indicare la sussistenza di una buona fede, poiché si deve avere riguardo anche delle modalità e del grado di cooperazione dimostrato.

Rileva inoltre la presenza di precedenti provvedimenti dell’Autorità di controllo presi contro lo stesso soggetto, così come l’adesione a codici di condotta o a meccanismi di certificazione approvati da parte del soggetto che è incorso in una violazione del GDPR.

Da ultimo, si deve tenere conto di eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, come ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione secondo il “case based aproach” suggerito dal WP.

L’esercizio del potere sanzionatorio dei garanti Ue

Già negli stadi embrionali di applicazione del GDPR, si rilevano interessanti profili applicativi delle sanzioni da parte delle diverse autorità europee e delle prime ipotesi applicative dei criteri elaborati dal WP 29.

Già in questi primi mesi, diverse Autorità di controllo a livello europeo hanno individuato numerosi peccati e, nella specie, ignavia, accidia ed avarizia in capo a titolari e responsabili di trattamento che sono stati colpiti dalle sanzioni.

Knuddels.de

In data 22 novembre 2018 il Garante per la protezione dei dati personali dello Stato di Baden–Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) condannava il sito di chat online Knuddels.de (“Coccole”)il quale ha vissuto il suo picco di popolarità negli anni 2000, prima dell’arrivo di Facebook al pagamento di una sanzione di ventimila euro.

Nel caso concreto veniva contestata una violazione dell’art. 32 del GDPR posto che, per mancanza di misure adeguate di sicurezza, il sito subiva un leak di quasi due milioni di username/password e di più di ottocentomila e–mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati.

In sede di applicazione della sanzione, si è tenuto in debito conto della mancanza di misure di sicurezza adeguate alla protezione dei dati, posto che i dati degli utenti (circa 330mila quelli interessati), erano conservati in chiaro e venivano diffusi dagli hackers responsabili dell’attacco sui siti di file hosting/sharingMega” e “Pastebin”.

Tuttavia, non appena accertata la violazione, Knuddels ha prontamente informato i suoi utenti e il LFDI dell’accaduto e ha implementato la sua infrastruttura IT per innalzare il livello di sicurezza.

Il Garante tedesco, nel determinare l’ammontare della sanzione, ha valutato molto favorevolmente il comportamento collaborativo di Knuddels, temperando i rigori sanzionatori che la gravità oggettiva della sanzione avrebbe giustificato nel caso concreto.

Si riporta testualmente quanto contenuto nella decisione del Garante tedesco, il quale ha stabilito che: “chi impara dai danni e collabora con trasparenza al miglioramento della protezione dei dati può uscire rafforzato da un attacco di hacker[4].

Hospitalar Barreiro Montijo

Un’importante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400mila euro una struttura ospedaliera.

Nell’aprile 2018, la CNDP ispezionava il Centro Hospitalar Barreiro Montijo del distretto di Setúbal a seguito di una segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario accedesse ai sistemi informatici del nosocomio con privilegi propri dello staff medico.

In sede ispettiva, la CNDP appurava come nel sistema fossero attive 985 utenze con profilo di autorizzazione riservato al personale medico, benché fossero “solo” 296 i medici operativi nell’ospedale e come, pertanto, la struttura avesse conferito a quasi seicento dipendenti un accesso indiscriminato e ingiustificato ai dati sanitari dei pazienti.

L’Autorità portoghese, accertata la grave violazione contestata, comminava una sanzione da trecentomila euro per il mancato rispetto della confidenzialità e per la mancata limitazione degli accessi ai dati dei soggetti ricoverati, e una da centomila euro per non aver assicurato “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art.32 GDPR).

Inoltre, nell’ambito dell’ispezione eseguita dall’Autorità garante relativamente al sistema informativo e di gestione dell’ospedale venivano constatate ulteriori irregolarità, come la totale mancanza di un qualsiasi documento di riconoscimento o di una procedura di autenticazione degli utenti del sistema informatico e alla determinazione dei relativi profili di accesso, il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso e l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nell’ospedale in forza di contratti a termine e mai disabilitati.

Nel determinare la sanzione, il CNPD teneva conto sia della tipologia di dati coinvolti (nella specie informazioni relative alla salute di pazienti, spesso impropriamente definiti come “dati super–sensibili”), della durata nel tempo della violazione, del numero di interessati coinvolti, sia della gravità dei danni dagli stessi subìti, nonché della negligenza nell’adozione delle misure organizzative e tecniche da parte dell’Ospedale.

Con riferimento all’ultimo criterio, l’Autorità, lungi dal qualificare come colposa la violazione in una corretta applicazione delle linee guida del WP, ha ritenuto la violazione dolosa, posto che il titolare sanzionato aveva scientemente associato i profili di accesso al sistema informativo con profili operativi/funzionali non corrispondenti.

In questo senso, inoltre, la violazione risulta essere ancora più grave a fronte di una mancata adozione di misure organizzative pur a fronte dell’utilizzo di mezzi tecnici (i sistemi gestionali messi a disposizione dal Ministero della Salute), i quali di per sé erano in grado di garantire una corretta profilazione degli utenti e, quindi, una limitazione degli accessi ai dati.

Viceversa, è valutato positivamente l’atteggiamento collaborativo del titolare del trattamento volto ad attenuare le conseguenze negative delle violazioni.

Il secondo caso, invece, è stato quello dell’Autorità Garante della Privacy austriaca (Datenschutzbehörde), la quale ha condannato un imprenditore al pagamento di 4.800 euro per aver installato delle telecamere di videosorveglianza al di fuori del suo esercizio commerciale che riprendevano parte del marciapiede: ciò si poneva in contraddizione con i principi della privacy più comuni, in quanto veniva ripresi i volti dei passanti senza che essi ne fossero debitamente informati.

La sanzione stellare del Cnil a Google

Di recente, ha ricevuto molta eco mediatico la sanzione che la Commission nationale de l’informatique (Commissione nazionale informatica, CNIL), ha inflitto a Google che ammonta a 50 milioni di euro ed è stata, fino ad ora, la sanzione di maggiore importo comminata per una violazione del GDPR e, nella specie, per “mancanza di trasparenza, informazioni adeguate e mancanza di un valido consenso un merito alla personalizzazione degli annunci”.

È stato rilevato, infatti, come “le informazioni rilevanti sono accessibili solo dopo diversi passaggi, talvolta anche 5 o 6 azioni” e come le finalità del trattamento sono definite in una maniera troppo generica vaga, così come le categorie di trattati[5].

Il consenso è stato carpito indebitamente, tradendo la fiducia dei consumatori in quanto gli utenti non sono stati messi in grado di comprendere appieno l’entità delle operazioni di elaborazione eseguite ed il loro consenso non risulta essere adeguatamente informato, con conseguente e gravissimo tradimento della fiducia di chi si fida.

Sotto il profilo obiettivo, la violazione è di carattere evidentemente doloso e realizza una grave violazione dei principi di informazione e trasparenza delle attività di trattamento; sotto il profilo soggettivo, il soggetto sanzionato è Google, uno dei più grandi colossi del web il cui fatturato mondiale è superiore al PIL di molte nazioni.

Ancora più modesta appare la sanzione comminata specie se paragonata a quella comminata dalla Commissione europea, pari a 4.342.865.000 euro per abuso di posizione dominante in quanto Google costringeva i produttori di smartphone e gli operatori di rete mobile a installare Chrome, ad utilizzare il proprio motore di ricerca come predefinito o addirittura esclusivo e a installare tutte le altre app dell’azienda per i relativi servizi di ricerca sui vari smartphone venduti in Europa con conseguente e surrettizia imposizione di un monopolio di fatto.

In ogni caso, sebbene la sanzione sia modesta, ciò non vuole assolutamente dire che la stessa sia irragionevole o poco efficace, ma pare pienamente idonea a realizzare la propria funzione special-preventiva di responsabilizzare il titolare di trattamento.

Anche in questo caso, il quantum della sanzione appare adeguato attraverso una corretta lettura del “cased based aproach” e tiene conto delle difficoltà di fornire adeguatamente le informazioni agli interessati in un contesto online e delle difficoltà concrete che tutti, dalla PMI al colosso del web, hanno di adattarsi al GDPR.

Lungi dall’essere una punizione infernale, la sanzione deve intendersi come un avvertimento ed un invito rivolto a Google di migliorare le proprie politiche di protezione dei dati personali e, già dal fondo dei cerchi infernali, si iniziano a rivedere le stelle.

Le posizioni del garante italiano

Anche l’Autorità Garante italiana ha affrontato un caso di illecito trattamento dei dati personali e, nella specie, l’ipotesi di una diffusione illecita dei dati relativi alla valutazione e all’analisi delle performances dei dipendenti ed eventuali sanzioni disciplinari nei confronti degli stessi sulla bacheca aziendale.

Più specificatamente, numerosi dati – anche di carattere particolare – facenti riferimento ai lavoratori venivano diffusi attraverso l’affissione nella bacheca aziendale del prospetto “Guardiamoci in faccia… soci!”. L’elenco dei lavoratori individuati con iniziale del nome, cognome e fotografia, nonché informazioni relative ad addebiti disciplinari e causali dell’assenza anche in caso di malattia veniva, infatti, pubblicato nell’intranet aziendale, dove “faccine” (emoticon) esprimevano un giudizio di sintesi positivo o negativo sull’operato del dipendente quali “assenteismo”, “simulazione di malattia”, “perdita del lavoro causa scarso servizio o danni”, “mancato rispetto disposizioni aziendali e/o regolamento”, “mancato rispetto programma di lavoro” oppure l’espressione “licenziata”.

Se, da un lato, il datore di lavoro può trattare tutte le informazioni necessarie e pertinenti alla gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale, come i dati necessari per effettuare la valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore; dall’altro questo trattamento è da considerarsi pienamente illegittimo.

Il trattamento si articolava, infatti, in una sistematica messa a disposizione delle medesime informazioni mediante affissione sulla bacheca all’interno dei locali della società a tutti gli altri dipendenti ed anche a soggetti terzi: tutti soggetti non legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari riguardanti il lavoratore[6], con conseguente lesione della dignità personale, della libertà e della riservatezza dei lavoratori.

Inoltre, le operazioni consistenti nella regolare affissione in bacheca delle valutazioni e delle contestazioni disciplinari riferite a ciascun dipendente, unitamente alla dettagliata descrizione dei rilievi effettuati, non sono state considerate adeguate e pertinenti rispetto agli scopi rappresentati dalla società, che si prefiggeva: ossia quelli di incentivare i dipendenti a raggiungere gli obiettivi di qualità ed efficienza dei servizi resi alla clientela.

Le predette finalità si sarebbero potute, infatti, perseguire con modalità che non comportassero il sacrificio del diritto alla riservatezza degli interessati.

Peraltro, le informazioni relative a valutazioni e contestazioni disciplinari sono, infatti, particolarmente delicate, specie se negative in quanto incidono sulla dignità professionale del dipendente. Di particolare rilievo risulta la circostanza che le contestazioni e le valutazioni sono affisse in bacheca prima della conclusione del procedimento e comunque in assenza di controdeduzioni degli interessati.

L’Autorità Garante, accertata l’illiceità del trattamento, ne ha pertanto imposto il divieto di ulteriore trattamento secondo le modalità oggetto di segnalazione, rammentando che, ai sensi dell’art. 2–decies del Codice, i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali “non possono essere utilizzati”[7].

In questo senso, è lampante come il Garante italiano si sia limitato ad esercitare un potere correttivo senza ritenere necessario dispensare alcuna sanzione pecuniaria, considerando l’irrogazione di una sanzione inibitoria sufficiente per tutelare adeguatamente gli interessati violati nella loro riservatezza.

Un’applicazione ragionevole e ponderata del potere sanzionatorio

Dai casi analizzati finora possiamo ben comprendere come le Autorità delle varie nazioni sono intervenute per garantire il rispetto del GDPR senza punire eccessivamente i titolari sanzionati nell’ottica di garantire un’applicazione graduale e progressiva del Regolamento europeo e di guidare, in un’ottica special preventiva, titolari e responsabili verso una corretta applicazione del GDPR.

Sanzioni eccessivamente punitive, infatti, arriverebbero a pregiudicare l’applicazione del Regolamento stesso instillando un clima ingiustificato di paura in titolari e responsabili che verrebbero frenati nel realizzare operazioni di trattamento e.

I titolari ed i responsabili, conseguentemente, anziché procedere con coscienza e responsabilità al trattamento dei dati sulla base dei rischi che il trattamento pone per gli interessati e garantendo agli interessati trasparenza e il rispetto dei loro diritti, per paura di una sanzione rischierebbero di essere frenati nel realizzare attività di trattamento.

Ne conseguirebbe che loro attività di impresa potrebbe venirne pregiudicata e, anziché adottare strategie espansive basate su un corretto trattamento dei dati personali dei propri clienti nel rispetto dei limiti dettati dalla Legge nazionale ed europea, sarebbero frenati nelle loro possibilità di crescita ed espansione.

In secondo luogo, i titolari ed ogni altro soggetto che tratta dati personali, da un lato, arriverebbero ad occultare ogni violazione e trattamento illecito rendendone più difficile l’accertamento e, dall’altro, per non incorrere in sanzione sarebbero scoraggiati dal notificare all’Autorità di Controllo le eventuali violazioni subite, anche dove le stesse ponessero rischi per gli interessati.

In questo senso, verrebbe pregiudicato il principio di leale cooperazione fra titolari ed Autorità Garanti, finalizzato a garantire il principio di legalità delle operazioni di trattamento ed il rispetto dei diritti fondamentali degli interessati.

Ben noto ad ogni giurista dovrebbe essere l’aforisma in base al quale “Summum ius, summa iniuria” attribuito a Cicerone, ma secondo gli studiosi di diritto romano ancora più risalente nel tempo. Dal brocardo, conosciuto dal primo anno di giurisprudenza alle matricole che si approcciano allo studio delle istituzioni di diritto romano, discende il principio fondamentale in base al quale l’uso rigoroso e indiscriminato di un diritto o l’applicazione rigida di una norma può diventare un’ingiustizia e questa considerazione dovrebbe guidare ogni soggetto coinvolto nell’applicazione del GDPR.

Da queste considerazioni, consegue che il GDPR dovrebbe essere applicato con coscienza e responsabilità da parte dei titolari e responsabili tenuti a realizzare gli adempimenti, delle Autorità Garanti che vigilano sul rispetto della norma e ne assicurano una corretta applicazione e anche delle Autorità giudicanti che sono tenute a giudicare sulla legalità dell’operato delle Autorità di controllo e sul rispetto dei diritti fondamentali delle persone fisiche coinvolte nelle attività di trattamento.

L’approccio fino ad ora tenuto dalle diverse autorità di controllo è stato ragionevole e ponderato sulla base delle risultanze del caso concreto ed ha tenuto conto delle caratteristiche obiettive dell’illecito accertato e soggettive dei soggetti sanzionati ed è auspicabile che le stesse, a fianco dell’indispensabile opera di controllo sull’applicazione del GDPR, affianchino un’attività di sensibilizzazione sulla materia.

Sin dalle teorie illuministiche è, infatti, noto come ogni sanzione possa ritenersi effettiva solamente se il soggetto colpito è consapevole del disvalore della propria condotta.

Editore: Maggioli Editore Collana: Privacy Pubblicato: Marzo 2019 ISBN / EAN 8891625342 / 9788891625342

_______________________________________________________________

  1. Al riguardo, il considerando 75 stabilisce che: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
  2. Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9099445
  3. Al riguardo, l’art. 83, paragrafo 2, stabilisce che il grado di cooperazione debba essere tenuto in “debito conto” in sede di applicazione di una sanzione amministrativa pecuniaria e di determinazione del quantum della stessa.
  4. Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen
  5. “But the processing operations are particularly massive and intrusive because of the number of services offered (about twenty), the amount and the nature of the data processed and combined.”
  6. V., in senso conforme, Provv. 3.7.2014, n. 341, doc. web n. 3325317 e Provv. 31.7.2014, n. 392, doc. web n. 3399423
  7. V. https://www.garanteprivacy.it/web/guest/home/docweb/–/docweb–display/docweb/9068983

@RIPRODUZIONE RISERVATA

Articolo 1 di 4