Responsabilità privacy: quali sono le sanzioni

Responsabilità privacy: quali sono gli illeciti civili, amministrativi e penali

di Postiglione Mario, Dott.

Versione PDF del documento

A seguito dell’ entrata in vigore del Regolamento[1] e del successivo decreto legislativo di armonizzazione[2] è stata riformata buona parte della disciplina che regolamenta la responsabilità amministrativa, civile e penale in ambito privacy . L’inasprimento delle sanzioni ha lo scopo di obbligare titolari e responsabili del trattamento alla “responsabilizzazione”[3] . Che cosa rischia chi viola il Regolamento o il Codice privacy? A seconda del tipo di violazione commessa possono essere previste sanzioni amministrative e pecuniarie, risarcimento del danno o la reclusione.

Per approfondire ed aggiornarti leggi anche “I ricorsi al garante della privacy” di Michele Iaselli.

Sanzioni amministrative e pecuniarie

Le violazioni che comportano l’ applicazione di sanzioni amministrative e pecuniarie possono essere divise in due categorie, a seconda della loro gravità.

Alla prima categoria corrispondono sanzioni pecuniarie fino a 10 Mln € e sanzioni amministrative fino al 2% del fatturato mondiale della società. I casi in cui si applicano sono:
A) mancata valutazione d’impatto DPIA;
B) omessa consultazione preventiva dell’ Autorità di Controllo;
C) omessa notifica Data Breach;
D) violazione dell’ obbligo di tenuta del Registro dei Trattamenti;
E) violazione degli obblighi collegati alla figura del D.P.O/ R.P.D.;
F) violazione degli obblighi dell’ Organismo di Certificazione;
G) violazione degli obblighi dell’ Organismo di Controllo.

Alla seconda categoria, invece, corrispondono sanzioni pecuniarie fino a 20 Mln € e sanzioni amministrative fino al 4% del fatturato mondiale della società. I casi in cui si applicano sono:
A) violazione degli obblighi che riguardano i principi di base del trattamento e le condizioni relative al consenso;
B) violazione dei diritti degli interessati ;
C) violazione degli obblighi inerenti il trasferimento di dati personali ad un destinatario di un Paese Terzo o un’organizzazione internazionale;
D) l’inosservaziona di un’ordine emanato dal Garante per la protezione dei dati personali;
E) violazioni delle disposizioni relative a specifiche situaizoni di trattamento.

E’ importante specificare però che le sanzioni devono essere sempre effettive, dissuasive e proporzionate. A tal riguardo il Regolamento stabilisce che se le violazioni sono di minore entità o se le sanzioni pecuniarie che dovrebbero essere comminate comportano un’onere eccessivo per la persona fisica, potrebbe essere rivolto un’ammonimento anzichè una sanzione pecuniaria. Questa previsione è un’ottimo strumento di difesa per le persone fisiche nel caso di sanzioni troppo elevate.

Responsabilità civile

Il trattamento di dati personali è una attività che espone gli interessati ad un rischio. Il sistema giuridico bilancia il possibile danno con un insieme di tutele idonee a ripristinare il patrimonio giuridico dell’interessato. Innanzitutto è riconosciuta agli interessati la possibilità di proporre un ricorso giurisdizionale nei confronti del titolare del trattamento o del responsabile che abbiano cagionato un danno. Il diritto a proporre un riscorso si manifesta, poi, grazie alla possibilità di ottenere un risarcimento del danno nel caso di responsabilità del titolare o del responsabile del trattamento.
La responsabilità può derivare da trattamenti di dati personali suscettibile di:
– aver cagionato un danno fisico, materiale o immateriale;
– aver comportato discriminazioni, furto o usurpazione d’identità;
– aver arrecato pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale;
– aver rivelato dati sensibili.

Inoltre, la responsabilità del titolare o del responsabile del trattamento può essere riconosciuta anche qualora gli interessati rischino di essere privati dei loro diritti e delle loro libertà o ne venga loro impedito l’esercizio.

A chi spetta l’onere della prova?

Il Regolamento e il Codice civile sono univoci sul punto affermando l’inversione dell’onere probatorio. Spetta dunque al titolare o al responsabile del trattamento dimostrare che: l’evento dannoso non è loro imputabile oppure di aver adottato tutte le misure idonee ad evitare il danno. Questa sorta di ” presunzione di colpevolezza” è da riscontrare nel fatto che il trattamento di dati personali ha un pericolo intrinseco nel tipo di attività svolta. Siffatti la normativa richiede che chi procede a trattare dati personali lo faccia con responsabilizzazione e maggiore cautela rispetto ad una attività non rischiosa.

Responsabilità penale

In merito alla responsabilità penale il Regolamento prevede che siano gli Stati membri a stabilire le norme relative agli illeciti penale. A tal riguardo, il legislatore nazionale è intervenuto adoperando un restyling dei cd. ” reati privacy”. Questo per due ragione: la prima, perchè alcune fattispecie che il Regolamento sanziona come amministrative erano punite come illeciti penali dal Codice Privacy. Dunque per non incorrere nella violazione del Ne bis in idem[5] , il legislatore ha ben pensato di ristrutturare totalmente le disposizioni del Codice Privacy; in secondo luogo sono state introdotte nuove fattispecie di reato che puniscono severamente violazioni del Regolamento.

I reati cosi’ come previsti dalla ristrutturazione adoperata dal decreto di armonizzazione puniscono:
– il trattamento illecito di dati personali, dati sensibili e di dati personali verso un paese terzo o un’organizzazione internazionale con pene fino a 3 anni di reclusione;
– la comunicazione e la diffusione illecita di dati personali anche con pene fino a 6 anni di reclusione nel caso di dati personali trattati su larga scala;
– acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala con pene fino a 4 anni di reclusione;
– la falsità nelle dichiarazione rese al Garante Privacy e l’interruzione dell’ esecuzione dei compiti o dell’ esercizio dei poteri del Garante con pene fino a 3 anni di reclusione;
– l’inosservanza dei provvedimenti del Garante fino a 2 anni di reclusione;
– violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori con l’ ammenda o con l’ arresto fino ad un anno.

Il quadro delle tre responsabilità serve a tutelare gli interessati, riconoscendogli tutele e mezzi di difesa adeguati, ed inoltre obbliga titolari e responsabili ad essere conformi al Regolamento e al Codice Privacy per non incorrere in sanzioni.

Volume consigliato

I Ricorsi al garante della privacy

I Ricorsi al garante della privacy

IASELLI MICHELE, 2019, Maggioli Editore

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo...



Note

(1)Regolamento EU 2016/679.
(2)D.lgs. 101/2018.
(3)Uno dei principi più importanti del Regolamento EU 2016/679 è “il principio di accountability”, che tradotto in italiano significa appunto ” responsabilizzazione” e ” rendicontazione”.
(4)I diritti degli interessati sanciti dagli artt. 13 – 22 del Regolameno EU 2016/679.
(5)E’ un principio del diritto secondo il quale nessuno può essere giudicato due volte per il medesimo fatto( anche detto “divieto del doppio giudizio”)

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

mario-postiglione

Postiglione Mario

Laureato in Giurisprudenza presso la Federico II e con Master in Giurista d'impresa presso l' AlmaLaboris. Professione: Legal Specialist, Giurista d'impresa e Privacy consultant. Ambito: mi occupo in generale di consulenza legale d'azienda( nello specifico di Privacy, 231, anticorruzione e annessa responsabilità penale). Altro: sono fondatore della società di consulenza LegalPrivacy( che si occupa di consulenza legale d'azienda ed in particolar modo di privacy), membro dell' Istituto italiano Anticorruzione e co- autore del libro " vademecum privacy per liberi professionisti e PMI" ( uscita prevista Gennaio 2019).


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!