Il quadro sanzionatorio previsto dal GDPR

1
2545

a cura di Dott. Simone Cedrola

Nota di redazione: questo è il quarto di una serie di articoli sul tema della protezione dei dati personali alla luce dell’imminente applicazione del Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR). L’obiettivo è fare chiarezza sugli aspetti principali della nuova disciplina indirizzata alle imprese e alle pubbliche amministrazioni e, soprattutto, ai cittadini.

 

Il regime sanzionatorio previsto al Titolo III dalla normativa vigente[1] si vede modificato dal Regolamento Generale Europeo sulla Protezione dei Dati Personali[2] (d’ora in poi GDPR), che troverà applicazione a partire dal 25 maggio 2018. Prima di analizzare l’impatto della nuova normativa europea, occorre analizzare brevemente quella attuale.

L’attuale normativa

Il Codice della privacy si vede corredato sia da sanzioni amministrative che penali. Le fattispecie sono diverse, ma spesso si riscontrano sovrapposizioni che non consentono una corretta lettura di sistema. Sul punto si evidenziano i numerosi tentativi posti in essere dall’Autorità Garante al fine di richiedere al legislatore una semplificazione[3].

Per quanto riguarda le sanzioni amministrative, si evidenzia che l’organo competente a “a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all’articolo 179, comma 3, è il Garante[4].  Di seguito si riportano le principali violazioni amministrative:

  • omessa o inidonea informativa all’interessato, per cui l’art. 161 Cod. Privacy prevede il pagamento di una somma da seimila euro a trentaseimila euro;
  • altre fattispecie individuate ex art. 162 Cod. Privacy, che dispone l’ammontare della sanzione tra diecimila euro e sessantamila euro;
  • omessa o incompleta notificazione per cui l’art. 163 Cod. Privacy stabilisce una sanzione da ventimila euro a centoventimila euro;
  • omessa informazione o esibizione al Garante, ex art. 164 Cod. Privacy la sanzione è da diecimila euro a sessantamila euro.

Inoltre, alla pena principale che consiste nel pagamento della somma pecuniaria, può aggiungersi la pena accessoria prevista dall’art. 165 Cod. Privacy, che prevede la “pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica”.

Il Codice della Privacy prevede anche diverse sanzioni di tipo penale. Posta la rilevanza costituzionale del bene giuridico tutelato, ossa il diritto alla protezione dei dati personali, il legislatore italiano ha potenziato la tutela del diritto al corretto trattamento dei dati a seguito delle indicazioni europee[5].

In particolare, la direttiva 95/46/CE[6] si limitava a prescrivere agli Stati membri di adottare “misure appropriate per garantire la piena applicazione” delle disposizioni ivi contenute, pertanto nel nostro ordinamento sono stati introdotte le seguenti fattispecie di reato, contenute al Capo II del Titolo III del Cod. Privacy:

  • trattamento illecito di dati che, ex art. 167 comma1 Cod. Privacy, è punito reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi; e che, ex art. 167 comma 2 Cod. Privacy, è punito con la reclusione da uno a tre anni;
  • falsità nelle dichiarazioni e notificazioni al garante, per cui l’art. 168 Cod. Privacy prevede che, salvo che il fatto non costituisca reato più grave, è punito con la reclusione da sei mesi a tre anni;
  • omessa adozione delle misure previste dall’art. 33 (misure di sicurezza), punita ex art. 169 Cod. Privacy con l’arresto fino a 2 anni o con ammenda da diecimila euro a cinquantamila euro;
  • inosservanza provvedimenti del garante, per cui l’art. 170 Cod. Privacy prevede la reclusione da tre mesi a due anni;
  • violazione art. 113, comma 1, e art. 114 (altre fattispecie), punita dall’art. 171 Cod. Privacy con le sanzioni di cui all’art. 38 della legge 20 maggio 1970, n. 300.

Anche nel quadro normativo relativo alle sanzioni penali è prevista una pena accessoria ex art. 171 Cod. Privacy che comporta la pubblicazione della sentenza.

Come detto in precedenza, la vigente normativa, così come brevemente riportata, si vede profondamente modificata dal GDPR.

Che cosa cambia con il Regolamento Generale Europeo sulla Protezione dei Dati Personali? 

Va premesso che vi sono molte differenze tra i due sistemi, ma quella che salta immediatamente all’occhio è l’assenza di sanzioni penali nel GDPR, che si basa esclusivamente su sanzioni amministrative pecuniarie.

In realtà il punto è controverso: se da una parte, come vedremo a breve, si è preferito semplificare la normativa, dall’altra quest’ultima potrebbe, proprio per l’attuale(?) assenza di specifiche disposizioni in materia penale, dar vita a numerose incertezze. In particolare, il Regolamento distingue le violazioni in due gruppi tali da corrispondere a illeciti più o meno gravi. Inoltre, l’art. 83 GDPR prevede che “siano in ogni singolo caso effettive, proporzionate e dissuasive”.

Quanto prescritto dal GDPR è il tetto massimo sanzionatorio:

  • per le violazioni più lievi, fino a 10 milioni di euro, o per le imprese, il 2% del fatturato annuo mondiale di gruppo dell’esercizio precedente;
  • per le violazioni più gravi, fino a 20 milioni di euro, o per le imprese, il 4% del fatturato annuo mondiale di gruppo dell’esercizio precedente.

Un’altra grande ed evidente differenza tra l’attuale sistema ed il nuovo, di imminente applicazione, riguarda il passaggio da un tetto massimo sanzionatorio fissato in 180 milioni ad uno fissato in 20 milioni e che, nel caso di grandi aziende multinazionali, può essere addirittura superato per via degli elevati fatturati. Pertanto, queste cifre sono senza dubbio uno dei principali motivi per cui la corsa all’adeguamento e l’attenzione alla tutela della privacy sono divenute centrali.

L’applicazione di queste sanzioni amministrative va però modulata tenendo conto di diversi fattori. Ogni autorità di controllo al fine di applicare sanzioni che rispettino, come già detto, i principi della effettività, proporzionalità e dissuasività, dovranno tenere in considerazioni diversi elementi indicati dall’art. 83, comma 2.

In primo luogo, l’autorità dovrà valutare “la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito”.

Inoltre, centrale risulterà anche la valutazione del carattere doloso o colposo della violazione e dell’adozione da parte del titolare o del responsabile del trattamento di misure atte a mitigare il danno subito dagli interessati.

Infine, costituiranno parte integrante della valutazione anche “eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; le categorie di dati personali interessate dalla violazione; la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione”.

Quanto alle sanzioni penali, il riferimento va all’art. 84, comma 1, e al considerando n. 149.

Il primo prevede che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”.

Il secondo stabilisce che “Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. […]. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”.

Dalla lettura in concerto di queste due disposizioni, si ricava la possibilità riservata agli Stati Membri di adottare sanzioni penali non limitate esclusivamente alle violazioni del regolamento ma anche, ed anzi soprattutto, per le violazioni delle norme nazionali adottate in virtù del regolamento.

Tuttavia, mai come in questo caso, più che di regolamento dovrebbe parlarsi di “quasi direttiva”. Le istituzioni europee non possono legiferare direttamente, attraverso un regolamento, in materia penale, stante l’esistenza del principio di riserva di legge a favore degli Stati Membri, come prescritto dall’ art. 83, par. 2 del TFUE[7]il Parlamento europeo e il Consiglio, deliberando mediante direttive secondo la procedura legislativa ordinaria, possono stabilire norme minime relative alla definizione dei reati e delle sanzioni […]”. Pertanto, l’intervento legislativo dell’Unione Europea deve limitarsi ad una mera attività di indirizzo al fine di armonizzare la disciplina.

In particolare, per il nostro ordinamento si pone un evidente problema di compatibilità tra le sanzioni penali previste dal Codice della Privacy e quanto disposto dal GDPR: da una parte, se il codice della privacy si ritenesse interamente abrogato dal regolamento, sarebbe impossibile sostenere la tesi della sopravvivenza delle sanzioni penali in concomitanza al quadro sanzionatorio previsto dal GDPR; d’altra parte, se le disposizioni del codice non fossero ritenute incompatibili con la nuova normativa, sarebbe possibile una convivenza tra la nuova cornice sanzionatoria (di tipo amministrativo) e la vecchia (di tipo penale).

In conclusione, è senza dubbio auspicabile un intervento da parte del legislatore volto a precisare le sorti delle vigenti norme penali, che potrebbero essere sostituite, modificate o abrogate del tutto.

[1] “Codice in materia di protezione dei dati personali”, D.lgs. 30 giugno 2003, n. 196, disponibile qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1311248

[2] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

[3] Segnalazione in tema di semplificazione del quadro sanzionatorio e delle misure minime di sicurezza previste dal Codice – 26 novembre 2015, disponibile qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4575782

[4] Art. 166, “Codice in materia di protezione dei dati personali”, D.lgs. 30 giugno 2003, n. 196, disponibile qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1311248

[5] Non solo la direttiva 1995/46/CE, ma anche la direttiva 2002/21/CE, in materia di comunicazione elettronica e trasmissione telematica di dati e informazioni, e la direttiva 2002/58/CE, in tema di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche.

[6] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, disponibile qui: http://eur-lex.europa.eu/legal-content/it/ALL/?uri=CELEX%3A31995L0046

[7] Versione consolidata del Trattato sul Funzionamento dell’Unione Europea, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A12012E%2FTXT

1 commento

Comments are closed.