Responsabilità privacy: quali sono le sanzioni
Home » News » Focus

Responsabilità privacy: quali sono gli illeciti civili, amministrativi e penali

Mario Postiglione

Versione PDF del documento

A seguito dell’ entrata in vigore del Regolamento[1] e del successivo decreto legislativo di armonizzazione[2] è stata riformata buona parte della disciplina che regolamenta la responsabilità amministrativa, civile e penale in ambito privacy . L’inasprimento delle sanzioni ha lo scopo di obbligare titolari e responsabili del trattamento alla “responsabilizzazione”[3] . Che cosa rischia chi viola il Regolamento o il Codice privacy? A seconda del tipo di violazione commessa possono essere previste sanzioni amministrative e pecuniarie, risarcimento del danno o la reclusione.

Sanzioni amministrative e pecuniarie

Le violazioni che comportano l’ applicazione di sanzioni amministrative e pecuniarie possono essere divise in due categorie, a seconda della loro gravità.

Alla prima categoria corrispondono sanzioni pecuniarie fino a 10 Mln € e sanzioni amministrative fino al 2% del fatturato mondiale della società. I casi in cui si applicano sono:
A) mancata valutazione d’impatto DPIA;
B) omessa consultazione preventiva dell’ Autorità di Controllo;
C) omessa notifica Data Breach;
D) violazione dell’ obbligo di tenuta del Registro dei Trattamenti;
E) violazione degli obblighi collegati alla figura del D.P.O/ R.P.D.;
F) violazione degli obblighi dell’ Organismo di Certificazione;
G) violazione degli obblighi dell’ Organismo di Controllo.

Alla seconda categoria, invece, corrispondono sanzioni pecuniarie fino a 20 Mln € e sanzioni amministrative fino al 4% del fatturato mondiale della società. I casi in cui si applicano sono:
A) violazione degli obblighi che riguardano i principi di base del trattamento e le condizioni relative al consenso;
B) violazione dei diritti degli interessati ;
C) violazione degli obblighi inerenti il trasferimento di dati personali ad un destinatario di un Paese Terzo o un’organizzazione internazionale;
D) l’inosservaziona di un’ordine emanato dal Garante per la protezione dei dati personali;
E) violazioni delle disposizioni relative a specifiche situaizoni di trattamento.

E’ importante specificare però che le sanzioni devono essere sempre effettive, dissuasive e proporzionate. A tal riguardo il Regolamento stabilisce che se le violazioni sono di minore entità o se le sanzioni pecuniarie che dovrebbero essere comminate comportano un’onere eccessivo per la persona fisica, potrebbe essere rivolto un’ammonimento anzichè una sanzione pecuniaria. Questa previsione è un’ottimo strumento di difesa per le persone fisiche nel caso di sanzioni troppo elevate.

Responsabilità civile

Il trattamento di dati personali è una attività che espone gli interessati ad un rischio. Il sistema giuridico bilancia il possibile danno con un insieme di tutele idonee a ripristinare il patrimonio giuridico dell’interessato. Innanzitutto è riconosciuta agli interessati la possibilità di proporre un ricorso giurisdizionale nei confronti del titolare del trattamento o del responsabile che abbiano cagionato un danno. Il diritto a proporre un riscorso si manifesta, poi, grazie alla possibilità di ottenere un risarcimento del danno nel caso di responsabilità del titolare o del responsabile del trattamento.
La responsabilità può derivare da trattamenti di dati personali suscettibile di:
– aver cagionato un danno fisico, materiale o immateriale;
– aver comportato discriminazioni, furto o usurpazione d’identità;
– aver arrecato pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale;
– aver rivelato dati sensibili.

Inoltre, la responsabilità del titolare o del responsabile del trattamento può essere riconosciuta anche qualora gli interessati rischino di essere privati dei loro diritti e delle loro libertà o ne venga loro impedito l’esercizio.

A chi spetta l’onere della prova?

Il Regolamento e il Codice civile sono univoci sul punto affermando l’inversione dell’onere probatorio. Spetta dunque al titolare o al responsabile del trattamento dimostrare che: l’evento dannoso non è loro imputabile oppure di aver adottato tutte le misure idonee ad evitare il danno. Questa sorta di ” presunzione di colpevolezza” è da riscontrare nel fatto che il trattamento di dati personali ha un pericolo intrinseco nel tipo di attività svolta. Siffatti la normativa richiede che chi procede a trattare dati personali lo faccia con responsabilizzazione e maggiore cautela rispetto ad una attività non rischiosa.

Responsabilità penale

In merito alla responsabilità penale il Regolamento prevede che siano gli Stati membri a stabilire le norme relative agli illeciti penale. A tal riguardo, il legislatore nazionale è intervenuto adoperando un restyling dei cd. ” reati privacy”. Questo per due ragione: la prima, perchè alcune fattispecie che il Regolamento sanziona come amministrative erano punite come illeciti penali dal Codice Privacy. Dunque per non incorrere nella violazione del Ne bis in idem[5] , il legislatore ha ben pensato di ristrutturare totalmente le disposizioni del Codice Privacy; in secondo luogo sono state introdotte nuove fattispecie di reato che puniscono severamente violazioni del Regolamento.

I reati cosi’ come previsti dalla ristrutturazione adoperata dal decreto di armonizzazione puniscono:
– il trattamento illecito di dati personali, dati sensibili e di dati personali verso un paese terzo o un’organizzazione internazionale con pene fino a 3 anni di reclusione;
– la comunicazione e la diffusione illecita di dati personali anche con pene fino a 6 anni di reclusione nel caso di dati personali trattati su larga scala;
– acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala con pene fino a 4 anni di reclusione;
– la falsità nelle dichiarazione rese al Garante Privacy e l’interruzione dell’ esecuzione dei compiti o dell’ esercizio dei poteri del Garante con pene fino a 3 anni di reclusione;
– l’inosservanza dei provvedimenti del Garante fino a 2 anni di reclusione;
– violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori con l’ ammenda o con l’ arresto fino ad un anno.

Il quadro delle tre responsabilità serve a tutelare gli interessati, riconoscendogli tutele e mezzi di difesa adeguati, ed inoltre obbliga titolari e responsabili ad essere conformi al Regolamento e al Codice Privacy per non incorrere in sanzioni.

Volume consigliato

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data...



Note

(1)Regolamento EU 2016/679.
(2)D.lgs. 101/2018.
(3)Uno dei principi più importanti del Regolamento EU 2016/679 è “il principio di accountability”, che tradotto in italiano significa appunto ” responsabilizzazione” e ” rendicontazione”.
(4)I diritti degli interessati sanciti dagli artt. 13 – 22 del Regolameno EU 2016/679.
(5)E’ un principio del diritto secondo il quale nessuno può essere giudicato due volte per il medesimo fatto( anche detto “divieto del doppio giudizio”)

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it