Ultima chiamata per titolari e responsabili del trattamento. Il termine di tolleranza concesso con il D. Lgs. 101/2018 è quasi scaduto: dal 20 maggio il Garante della Privacy avrà il potere di applicare per intero le sanzioni previste dal GDPR, senza che la novità della normativa possa valere a giustificare l’eventuale inadempimento da parte di un soggetto obbligato.
Nella remota ipotesi che qualcuno ancora se lo stesse chiedendo, tutto il fermento che si è generato attorno al tema privacy è dovuto all’introduzione – nel maggio 2018 – del Regolamento UE 679/2016, denominato Regolamento Generale per la Protezione dei Dati Personali (ma conosciuto con l’acronimo inglese GDPR – General Data Protection Regulation).
La rapidità dell’evoluzione tecnologica e la globalizzazione consentono l’utilizzo di dati personali come mai in precedenza ed hanno reso necessario un intervento profondamente innovativo, finalizzato a fornire un quadro più solido e coerente in materia di protezione dei dati nell’Unione.
Volendo essere estremamente sintetici, il GDPR persegue finalità apparentemente contrastanti: la protezione delle persone fisiche con riguardo al trattamento dei dati personali (le persone giuridiche, gli enti e le associazioni non sono ricompresi nel campo di applicazione del GDPR) e la libera circolazione dei dati stessi. Queste finalità sono perseguite mediante una regolamentazione posta a tutela dei soggetti i cui dati sono trattati (i c.d. interessati) e mediante un sistema di responsabilizzazione di chi procede ad effettuare un trattamento (i c.d. titolari del trattamento).
È importante non commettere l’errore di credere che questa sia una materia relegata alle minuscole clausole in fondo ad un contratto o ad un “ho letto e accetto l’informativa sulla privacy” su di un sito internet, in quanto la nuova normativa prevede sanzioni amministrative estremamente pesanti per i trasgressori: fino a 20 milioni di euro o al 4% del fatturato mondiale, se superiore. Si tenga a mente, inoltre, che le sanzioni amministrative si applicano sia che la violazione sia stata commessa con dolo, sia che la stessa sia avvenuta per colpa (lieve o grave).
Se il potere dissuasivo di tali sanzioni non dovesse sembrare sufficiente, basti pensare che il (seppur novellato) trattamento illecito di dati o la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, tra gli altri, costituiscono reato– in quanto le norme sono poste a tutela di un bene di rango costituzionale, quale quello della riservatezza – e sono, quindi, penalmente sanzionati: con la pena della reclusione sino a 6 anni, nei casi più gravi.
Nonostante ciò, il D. Lgs. 101/2018 (il quale ha recepito le innovazioni introdotte dal GDPR ed ha modificato l’ormai datato D. Lgs. 196/2003 – Codice della Privacy), all’art. 22, paragrafo 13, ha accordato ai soggetti obbligati un termine di otto mesi, detto periodo di prima applicazione, durante il quale il Garante è stato più tollerante nell’applicazione delle varie sanzioni, in considerazione delle comprensibili difficoltà dovute all’implementazione di un sistema di protezione dei dati personali profondamente diverso dal precedente.
Al contrario di quanto avveniva con il Codice Privacy, nel GDPR non sono più previste fattispecie tipiche alla cui violazione consegue una sanzione amministrativa con una pena edittale minima e una massima, ma è sufficiente che vi sia una violazione di qualsiasi tipo affinché sia giustificato l’intervento sanzionatorio del Garante.
È interessante sottolineare il tema della sanzione minima, in quanto nel vecchio regime sanzionatorio era previsto un minimo edittale che si applicava indifferentemente e nella stessa misura per il piccolo artigiano e per la grande multinazionale, senza che vi fosse modo, per il Garante, di esercitare la propria discrezionalità al fine di equilibrare la sanzione.
Ai fini della quantificazione della sanzione pecuniaria, il Garante dovrà prendere in considerazione numerosi elementi (elencati nel Considerando n. 148 del GDPR, il quale attribuisce al Garante, inoltre, il potere di applicare sanzioni diverse e ulteriori da quelle specificamente previste), tra i quali la natura, la durata e la gravità della violazione, il carattere doloso o colposo della stessa, le eventuali misure adottate per attenuare il danno arrecato, il grado di responsabilità e alle eventuali precedenti violazioni pertinenti, il grado di collaborazione con l’autorità di controllo, nonché eventuali altri fattori aggravanti o attenuanti.
Ad esempio, in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere applicate risultasse sproporzionata per una persona fisica, il Garante potrebbe rivolgere un ammonimento, in luogo della sanzione pecuniaria.
Il GDPR specifica le violazioni, indica il limite massimo ed i criteri per prevedere la sanzione amministrativa, ma quest’ultima deve essere quantificata dalle singole autorità di controllo degli Stati membri “tenuto conto di tutte le circostanze pertinenti della situazione specifica” (Considerando n. 150).
A parere di chi scrive, mentre gli adempimenti previsti in capo ai titolari ed ai responsabili del trattamento sono chiari e definiti, lo stesso non può dirsi per le modalità di determinazione delle sanzioni, le quali – almeno sino a quando non vi saranno sufficienti provvedimenti del Garante – difettano in termini di determinatezza.
Il termine di tolleranza scadrà il 19 maggio 2019, con la conseguenza che dal giorno successivo il Garante avrà il potere di applicare per intero le sanzioni previste dal Regolamento senza che la novità della normativa possa valere a giustificare l’eventuale inadempimento da parte di un soggetto obbligato.