+39 011 3338611 info@gruppoaltea.online

Fino alla fine dell'emergenza tutto lo staff di Gruppo Altea continuerà la sua attività in modalità smart working o in orari ridotti.
Contattateci al +39 011 3338611 o via e-mail: vi ricontatteremo il prima possibile.

IL SISTEMA SANZIONATORIO DEL GDPR E DEL D.LGS. 101/2018

Nell'articolo qui di seguito andremo ad approfondire lo spinoso argomento del sistema sanzionatorio, così come previsto dal GDPR e dal D.lgs. 101/2018.

Nel periodo appena precedente l’entrata in vigore del GDPR (25 maggio 2018), si è palesato un interesse sempre più viscerale riguardo alla privacy, o meglio alla protezione dei dati personali, a causa principalmente delle sanzioni amministrative introdotte dal Regolamento Generale sulla Protezione dei Dati (a cui di seguito ci riferiremo semplicemente con Regolamento o GDPR).

Le suddette sanzioni amministrative, così come spiegate dal GDPR, potevano raggiungere cifre astronomiche per la maggior parte delle società in Italia, ed in Europa; infatti la sanzione massima applicabile è pari al 4% del fatturato mondiale o 20 milioni di euro.

L’approccio terroristico verso il cliente, ossia l’utilizzo delle cifre delle sanzioni massime come strumento per instillare nel cliente il timore e quindi “incentivarlo” ad adempiere al GDPR, non è mai rientrata nella nostra politica aziendale. Di contro anzi il nostro intento, in prima battuta, è sempre stato quello di far comprendere al cliente che l’adempimento al GDPR può portare vantaggi diretti e indiretti alla propria attività, e non è utile unicamente per non rischiare di ricevere le sanzioni a cui ci riferivamo precedentemente.

Ovviamente è giusto che il cliente sia a conoscenza delle sanzioni in cui può incorrere in caso non vengano svolte tutte le attività previste per l’adempimento alla privacy, proprio in virtù del principio di Accountability (art.5 GDPR), punto fondamentale del GDPR.

Il sistema sanzionatorio in materia di protezione dei dati personali è stato rivisto nel D.lgs. n.101/2018, legge di armonizzazione al GDPR, che ha introdotto oltre alle sanzioni amministrative anche sanzioni penali nei confronti del Titolare del trattamento.

Di seguito, sono presenti tutti gli elementi che compongono il sistema sanzionatorio in ambito di protezione dei dati personali:

  • Autorità di Controllo
  • Poteri dell’Autorità di Controllo
  • Attività Ispettive
  • Sanzioni Amministrative
  • Sanzioni Penali introdotte dal D.lgs. 101/2018

AUTORITÀ DI CONTROLLO

Ogni Stato membro dell’Unione Europea (d’ora in poi solo Stato membro) deve disporre una o più Autorità di Controllo, autonoma ed indipendente, atte a sorvegliare l’applicazione del Regolamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione Europea.

L’art. 51 del GDPR, oltre a dare la definizione di Autorità di Controllo, spiega che tutte le Autorità istituite dagli Stati membri devono cooperare tra di loro e con la Commissione tramite i meccanismi di cooperazione e di coerenza.

Questo introduce il principio di “One Stop Shop”: ossia che i Titolari o Responsabili del Trattamento avranno a che fare con una sola Autorità di Controllo, e questa sarà rappresentata dall’Autorità di Controllo dello Stato membro dove i soggetti hanno la loro sede principale. L’Autorità di Controllo che verrà individuata come “Capofila” deve cooperare con le altre Autorità interessate ed è competente per l’adozione di misure vincolanti. Questo concetto da una parte facilita le procedure e garantisce una maggiore coerenza delle decisioni, dall’altra però consente alle imprese di poter scegliere indirettamente a quale Autorità di Controllo dover rispondere, potendo decidere in quale Stato membro stabilire la propria sede principale. Un ulteriore problematica sorta da questo principio, di cui però non tratteremo in questa sede, è quella relativa alla destinazione dei reclami degli interessati sul territorio europeo.

I compiti dell’Autorità di Controllo sono contenuti nell’art. 57 del GDPR:

  1. sorveglia e assicura l’applicazione del presente regolamento;
  2. promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
  3. fornisce consulenza, a norma del diritto degli Stati membri, al Parlamento nazionale, al Governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
  4. promuove la consapevolezza dei Titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente Regolamento;
  5. su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente Regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri;
  6. tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra Autorità di Controllo;
  7. collabora, anche tramite scambi di informazioni, con le altre Autorità di Controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente Regolamento;
  8. svolge indagini sull’applicazione del presente Regolamento, anche sulla base di informazioni ricevute da un’altra Autorità di Controllo o da un’altra Autorità pubblica;
  9. sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;
  10. adotta le clausole contrattuali tipo per la nomina dei responsabili esterni del trattamento, e per il trasferimento di dati all’estero;
  11. redige e tiene un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati;
  12. offre consulenza sui trattamenti per cui è necessaria la consultazione preventiva;
  13. incoraggia l’elaborazione di codici di condotta, destinati a contribuire alla corretta applicazione del Regolamento, fornisce un parere su tali codici di condotta e approva quelli che forniscono garanzie adeguate;
  14. incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati e approva i criteri di certificazione;
  15. ove applicabile, effettua un riesame periodico delle certificazioni rilasciate;
  16. definisce e pubblica i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta e di un organismo di certificazione;
  17. effettua l’accreditamento di un organismo per il controllo dei codici di condotta e di un organismo di certificazione
  18. autorizza le clausole contrattuali e le altre disposizioni in merito al trasferimento dei dati all’estero;
  19. approva le norme vincolanti d’impresa per il trasferimento dei dati all’estero;
  20. contribuisce alle attività del comitato;
  21. tiene registri interni delle violazioni del Regolamento e delle prescrizioni/ingiunzioni adottate nei confronti dei Titolari del trattamento;
  22. svolge qualsiasi altro compito legato alla protezione dei dati personali.

POTERI DELL’AUTORITÀ DI CONTROLLO

Prima di elencare i poteri delle Autorità di Controllo è necessario prendere in esame il Considerando 129 del GDPR, il quale definisce che per monitorare e applicare il GDPR le Autorità degli Stati membri dovrebbero avere tutte gli stessi compiti e poteri effettivi.

I poteri si suddividono nelle seguenti categorie: poteri di indagine, poteri correttivi e sanzionatori, poteri autorizzativi e consultivi.

L’art. 58, comma 1 del GDPR definisce tutti i poteri di indagine:

  1. ingiungere di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;
  2. condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
  3. effettuare un riesame delle certificazioni rilasciate - che hanno di solito durata triennale - ;
  4. notificare al Titolare del trattamento o al Responsabile del trattamento le presunte violazioni del presente Regolamento;
  5. ottenere, dal Titolare del trattamento o dal Responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti;

L’art. 58, comma 2 del GDPR definisce i poteri correttivi:

  1. rivolgere avvertimenti al Titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento;
  2. rivolgere ammonimenti al Titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del Regolamento;
  3. ingiungere al Titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal Regolamento;
  4. ingiungere al Titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del Regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
  5. ingiungere al Titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
  6. imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  7. ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
  8. revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
  9. infliggere una sanzione amministrativa pecuniaria, in aggiunta alle misure correttive, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;
  10. ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Le Linee guida del WP 253 definisce che l’esercizio dei poteri correttivi da parte dell’autorità di controllo è soggetto a 4 principi:

  • sanzioni equivalenti;
  • misure effettive, proporzionate e dissuasive;
  • valutazione caso per caso;
  • collaborazione tra autorità di controllo.

L’art. 58, comma 3 del GDPR, invece, definisce i poteri autorizzativi e consultivi:

  1. fornire consulenza al Titolare del trattamento, durante le procedura di consultazione preventiva;
  2. rilasciare, di propria iniziativa o su richiesta, pareri destinati al Parlamento nazionale, al Governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali;
  3. autorizzare il trattamento di un interesse pubblico - come protezione sociale e sanità pubblica - se la legislazione dello Stato membro richiede una specifica autorizzazione preliminare;
  4. rilasciare un parere sui progetti di codici di condotta;
  5. accreditare gli organismi di certificazione;
  6. rilasciare certificazioni e approvare i criteri di certificazione;
  7. adottare le clausole tipo di nomina dei Responsabili del Trattamento;
  8. autorizzare le clausole contrattuali per il trasferimento dei dati all’estero;
  9. autorizzare gli accordi amministrativi per il trasferimento dei dati all’estero;
  10. approvare le norme vincolanti d’impresa per il trasferimento dei dati all’estero.

ATTIVITÀ ISPETTIVE

Le attività ispettive possono essere suddivise in due macro categorie: programmate (quando l’attività del Titolare ispezionato rientra nelle liste pubblicate dall’Autorità Garante riguardanti settori di rilevante interesse) o in seguito ad avvenuta segnalazione.

L’ente designato dallo Stato italiano per le attività ispettive in materia di protezione dei dati personali è la Guardia di Finanza (d’ora in avanti GdF).

Al momento dell’ispezione, la GdF richiede la presenza del legale rappresentante del Titolare del Trattamento o, in mancanza di quest’ultimo, di un soggetto designato che conosca la struttura in ambito di “privacy” all’interno della società. Il DPO non può sostituire in sede di ispezione il Titolare del trattamento, ma può supportarlo durante il controllo.

Il pilastro dell’attività ispettiva è il Registro delle attività di trattamento: è il primo documento che viene richiesto in fase di ispezione ed il più importante a livello generale. È proprio da qui che nasce l’assessment della società in materia di protezione dei dati personali. È da precisare che questo documento non è un mero adempimento formale, ma aiuta nella sostanza il Titolare del Trattamento ad inquadrare e gestire tutti i trattamenti presenti in azienda. Talvolta, la redazione di questo documento aiuta a tracciare tutte le attività svolte nella società, anche quelle di cui il legale rappresentante non è a conoscenza.

Oltre a visionare il Registro delle attività di Trattamento, verranno verificati tutti i documenti formali in materia di adeguamento al Regolamento: tra cui eventuali accordi di contitolarità, nomine agli addetti al trattamento e ai Responsabili Esterni, informative, ecc…

È importante essere a conoscenza che:

  • nel caso di presenza di un contitolare (figura prevista quando un trattamento viene eseguito da più Titolari del trattamento e questi ultimi decidono di comune accordo finalità e mezzi di trattamento) è necessario un atto formale che contenga le responsabilità e i compiti in capo a ogni parte;
  • per quanto riguarda invece le nomine da consegnare ai propri Responsabili Esterni del trattamento, nel caso questi si rifiutassero di sottoscrivere la nomina, il Titolare del Trattamento deve tenere traccia di qualsiasi comunicazione tra le parti, in quanto deve poter provare che ha inviato la nomina ed ha sollecitato la sua sottoscrizione;
  • come esplicato negli artt. 2 e 29 GDPR, è fondamentale formare tutti gli addetti al trattamento dei dati.

Un altro documento molto importante che verrà richiesto, e che dimostra l’osservanza delle normative in materia di protezione dei dati personali, è Privacy by design e by default. In questo documento sono specificate tutte le procedure per l’esercizio dei diritti dell’interessato, per la gestione degli interessati, per la verifica e nomina del Responsabile del Trattamento, per la gestione del data breach (notifica al Garante e comunicazione agli interessati) e per l’eventuale trasferimento di dati in paesi extra UE.

SANZIONI AMMINISTRATIVE

Il documento WP 253 - ossia le Linee Guida sulle sanzioni amministrative del GDPR pubblicate dall’ex WP 29 - ribadisce l’imposizione delle sanzioni amministrative pecuniarie quale elemento centrale per il corretto adeguamento al GDPR.

Il Considerando 148 del GDPR spiega che “[…] in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. […]”, chiarendo quindi che l’ammonimento può essere usato come misura sostitutiva alla sanzione, tenendo conto di eventuali fattori attenuanti o aggravanti. Oltre a prevedere l’ammonimento nella lettera b), l’art. 58. comma 2, lettera a) aggiunge anche l’avvertimento tra i poteri correttivi che un’Autorità di Controllo può esercitare.

Il riferimento alla responsabilità amministrativa nel GDPR è presente nell’art.83. Precisamente nel paragrafo 2 dello stesso articolo vengono definiti gli elementi di cui si deve tener conto:

  1. la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  2. il carattere doloso o colposo della violazione;
  3. le misure adottate dal Titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  4. il grado di responsabilità del Titolare del trattamento o del Responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ad es. pseudonimizzazione e minimizzazione;
  5. eventuali precedenti violazioni pertinenti commesse dal Titolare del trattamento o dal Responsabile del trattamento;
  6. il grado di cooperazione con l’Autorità di Controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  7. le categorie di dati personali interessate dalla violazione;
  8. la maniera in cui l’Autorità di Controllo ha preso conoscenza della violazione, in particolare se e in che misura il Titolare del trattamento o il Responsabile del trattamento ha notificato la violazione;
  9. qualora siano stati precedentemente disposti provvedimenti quali ad es. avvertimenti, ammonimenti, imposizione di limitazioni ecc…, nei confronti del Titolare del trattamento o del Responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  10. l’adesione ai codici di condotta approvati da diversi soggetti (Stati membri, Autorità di Controllo, Comitato o Commissione) o ai meccanismi di certificazione approvati sempre da diversi soggetti;
  11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

I paragrafi 4, 5 e 6 del sopraindicato articolo, invece, definiscono gli importi delle sanzioni: 10 milioni di euro o 2% del fatturato mondiale totale annuo per violazioni degli obblighi prescritti a carico del Titolare del Trattamento (ad esempio la mancata redazione della valutazione d’impatto) oppure 20 milioni di euro o 4% del fatturato mondiale totale annuo per violazioni dei principi e/o diritti previsti a favore dell’interessato o per inosservanza di un ordine da parte dell’Autorità di Controllo.

Particolare attenzione dev’essere posta sul contrasto tra:

  • il paragrafo 3 dell’art.83 del GDPR “[…] Se, in relazione allo stesso trattamento o a trattamenti collegati, un Titolare del trattamento o un Responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. […]”, il quale specifica che in caso di più illeciti la società verrà sanzionata con l’importo specificato per la violazione più grave; e
  • l’art.8 della L. 689/81 “[…] Salvo che sia diversamente stabilito dalla legge, chi con un'azione od omissione viola diverse disposizioni che prevedono sanzioni amministrative o commette più violazioni della stessa disposizione, soggiace alla sanzione prevista per la violazione più grave, aumentata sino al triplo. […]”;

Proprio per questo contrasto netto non si può far altro che aspettare una soluzione dallo Stato e dall’Autorità Garante per protezione dei dati personali sull’applicazione delle sanzioni.

Nel Codice Privacy n. 196/2003, novellato dal D. lgs. 101/2018, le specifiche riguardanti le sanzioni amministrative sono contenute nell’art.166, all’interno del quale nei paragrafi 1 e 2 vengono individuati gli illeciti da sanzionare con gli importi definiti dal GDPR. Nei paragrafi successivi a questi ultimi, invece, viene definito che:

  • le sanzioni possono essere applicate nei confronti sia di soggetti privati sia di soggetti pubblici (Autorità od organismi);
  • la notifica al Titolare o al Responsabile del trattamento, relativa alle presunte violazioni da parte dell’Autorità Garante, potrà essere inoltrata solo al termine della raccolta di tutte le informazioni necessarie;
  • il Titolare del trattamento ha 30 giorni dalla ricezione della notifica dell’Autorità Garante per inviare scritti difensivi o documenti. Può inoltre richiedere un colloquio presso l’Autorità Garante;
  • nell’adozione dei provvedimenti sanzionatori dovrà essere osservata la legge n. 689/81 (legge di depenalizzazione).

 

SANZIONI PENALI INTRODOTTE DAL D.LGS. 101/2018

Il D.lgs. 101/2018 ha introdotto la categoria degli illeciti penali, oltre alle sanzioni amministrative pecuniarie introdotte dal GDPR, per 6 fattispecie incriminatrici: trattamento illecito dei dati (art. 167); comunicazione e diffusione illecita dei dati personali oggetto di trattamento su larga scala (art.167-bis); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art.167-ter); falsità nelle dichiarazioni al Garante e interruzioni dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art.168); inosservanza di provvedimenti del Garante (art.170); violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 171).

Qui di seguito vediamo il dettaglio delle fattispecie:

  • L’art. 167 del Codice Privacy modificato (Trattamento illecito dei dati) suddivide in 3 categorie il trattamento illecito dei dati:
    • la violazione degli artt. 123 (dati di traffico telefonico e telematico), 126 (trattamento dei dati relativi all’ubicazione con riferimento ai servizi di comunicazione elettronica) e 130 (comunicazioni indesiderate) del Codice Privacy è punibile con la reclusione da sei mesi ad un anno e sei mesi;
    • la violazione delle prescrizioni in materia di trattamento dei dati particolari e dei dati giudiziari è punibile con la reclusione da uno a tre anni;
    • Il trattamento illecito dei dati riguardante il trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori delle ipotesi previste dal GDPR è invece punibile con la reclusione da uno a tre anni.
  • L’art. 167-bis del Codice Privacy modificato indica che per reati relativi alla comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala la pena è la reclusione da uno a sei anni.
  • L’art. 167-ter del Codice Privacy modificato riguarda l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, essa è punibile con la reclusione da uno a quattro anni.
  • L’art. 168 del Codice Privacy modificato indica, riguardo a falsità nelle dichiarazioni al Garante ed interruzioni dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, che:
    1. “[…] Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni […]”;
    2. “[…] è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.”.
  • L’art. 170 del Codice Privacy modificato introduce pene con reclusione da tre mesi a due anni nel caso di inosservanza dei provvedimenti del Garante.
  • L’art. 171 del Codice Privacy modificato fornisce specifiche riguardo alle violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. Nello specifico determina per questa fattispecie una sanzione amministrativa e/o la reclusione da 15 giorni a un anno, da valutare di caso in caso (nei casi più vengono applicate sia sanzioni amministrative che penali). Ricordiamo inoltre che alla suddetta fattispecie si applicano le sanzioni previste dall’art. 38 dello Statuto dei Lavoratori (legge 300/70).

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy