Si parla molto spesso, in relazione all’applicazione del Regolamento Europeo sulla Protezione dei Dati Personali, delle sanzioni “milionarie” comminate dalle Autorità Garanti in caso di violazioni. Dette sanzioni possono arrivare fino al 4% del fatturato annuo totale dell’anno precedente dell’impresa multata, e in effetti i casi “famosi” ci parlano di numeri veramente esorbitanti.
Tuttavia, una recente sentenza della Corte di Giustizia Europea, proprio in merito alla quantificazione delle sanzioni ed alla loro proporzionalità, è destinata a segnare un punto di svolta importante a cui le Autorità garanti dovranno attenersi ed è destinata a rappresentare un momento di riflessione profonda che potrà potenzialmente influenzare l’approccio che sia le autorità di controllo che le organizzazioni dovranno adottare di qui in avanti sul tema spesso sottovalutato del trattamento dei dati personali.
Per approfondimenti si consiglia il volume: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni
Indice
1. La sentenza e la vicenda delle sanzioni privacy
Si tratta della sentenza resa nella causa C-683/21, la quale ha messo in luce la necessità di una valutazione equilibrata e proporzionata delle infrazioni, sottolineando la mancanza di automatismi nella concessione delle sanzioni.
Questi aspetti chiave sono emersi in due casi specifici verificatisi in Europa: il primo, in Lituania, coinvolgente il Centro Nazionale di Sanità Pubblica multato per l’applicazione mobile legata al tracciamento dei vaccini e dei pass durante la pandemia di Covid-19, e il secondo in Germania, con la società immobiliare Deutsche Wohnen, multata per la conservazione eccessiva di dati personali dei suoi inquilini.
La decisione della Corte di Giustizia Europea introduce una nuova prospettiva riguardo al modo in cui le autorità di controllo dovrebbero valutare le violazioni del regolamento. L’elemento centrale della sentenza riguarda l’interpretazione dei criteri per determinare la gravità delle infrazioni e la conseguente imposizione di sanzioni. Questo aspetto crea un importante precedente, delineando il modo in cui le organizzazioni, in qualità di titolari del trattamento dei dati, dovrebbero affrontare la conformità al GDPR.
Per quanto riguarda la valutazione equilibrata e proporzionata, la Corte ha enfatizzato l’importanza di considerare non solo il fatturato complessivo del gruppo di aziende nel calcolo delle multe, in conformità con l’articolo 83(5) del GDPR (proprio l’articolo che stabilisce che le multe possono raggiungere fino al 4% del fatturato annuo globale totale dell’anno precedente dell’impresa), ma anche altri aspetti considerati cruciali quali l’intenzionalità della mancata conformità al regolamento e la negligenza nel comportamento dell’azienda sanzionata. Due aspetti che, a ben guardare, sono in linea con il principio cardine del Regolamento, ossia l’accountability: se la norma non impone una serie di misure stringenti ed obbligatorie, chiaramente elencate, ma si limita ad enunciare principi fondando tutta la sua applicazione sul concetto di approccio basato sul rischio, è chiaro che anche nella valutazione delle violazioni deve mantenersi il medesimo approccio, pur nell’alveo dei principi ormai consolidati e delle linee guida.
La Corte ha statuito che una condotta illecita può essere considerata tale solo se commessa intenzionalmente o per negligenza, riflettendo i criteri delineati nell’articolo 83 del GDPR per la determinazione delle sanzioni amministrative.
L’elemento innovativo della sentenza risiede nel delicato equilibrio proposto tra l’esigenza di imporre sanzioni deterrenti e l’obbligo di garantire proporzionalità e giustificazione in queste sanzioni. Questo aspetto assume particolare rilevanza considerando l’articolo 83 del GDPR, che stabilisce i criteri generali per l’imposizione di sanzioni amministrative. La Corte suggerisce la lettura di tale norma in combinato disposto con l’articolo 58, il quale conferisce alle autorità di controllo un ventaglio di poteri correttivi, inclusa la facoltà di imporre sanzioni pecuniarie.
Potrebbero interessarti anche:
2. Conclusioni e riflessioni
La pronuncia in commento mette in discussione l’idea che le sanzioni siano l’unico strumento per garantire la conformità al GDPR, promuovendo invece l’adozione di misure integrate volte a instaurare una cultura di protezione dei dati.
Dunque non solo la “paura” di essere sanzionati ed il terrorismo psicologico nei confronti dei vertici aziendali dovrebbero d’ora in poi servire per “convincere” (sempre che si possa parlare di convinzione, dal momento che il Regolamento è una norma cogente e dunque tutte le aziende dovrebbero applicarlo senza bisogno di subire alcuna opera di convincimento, sia essa basata o meno sullo spauracchio delle sanzioni), ma una nuova cultura della protezione dei dati in ossequio al principio dell’accountability dovrebbero essere gli strumenti giusti per incoraggiare una più ampia adesione e conformità ai principi ed alle norme del GDPR.
Non si tratta di una nuova interpretazione, ma si tratta (o si dovrebbe trattare, il condizionale rimane comunque d’obbligo) di un nuovo spirito in cui l’adeguamento dovrebbe essere svolto, che si dovrebbe tradurre in valutazioni di impatto sulla protezione dei dati (DPIA) per operazioni di trattamento ad alto rischio (articolo 35), nomina di un Responsabile della protezione dei dati (DPO) qualificato e non solo di facciata, laddove necessario (articolo 37), cooperazione e dialogo costruttivo con le Autorità di controllo, e, ultimo ma non meno importante, addestramento del personale e sensibilizzazione interna sui principi del GDPR che emergono come passaggi cruciali per consolidare una cultura di protezione dei dati all’interno delle organizzazioni, garantendo una conformità robusta e una gestione consapevole delle responsabilità nel trattamento dei dati personali.
In definitiva, la sentenza C-683/21 della Corte di Giustizia dell’Unione Europea rappresenta un punto di svolta significativo nel panorama giuridico relativo al GDPR, richiedendo una profonda riflessione sull’approccio alle normative sulla protezione dei dati e alle relative sanzioni. Il principio di proporzionalità assume una centralità ancor maggiore nell’ambito della protezione dei dati, come sottolineato dalla Corte stessa. La decisione stabilisce chiaramente che l’applicazione delle sanzioni deve essere misurata non solo in termini di conformità alle norme, ma anche considerando il contesto economico e l’effetto potenziale sulle attività delle organizzazioni coinvolte. Questo sottolinea che le sanzioni non devono essere automatiche, bensì frutto di un’attenta valutazione caso per caso, tenendo conto di vari fattori, quali la natura, gravità e durata dell’infrazione, nonché l’intenzionalità o negligenza del trasgressore.
La Corte, dunque, non solo enfatizza la responsabilità delle organizzazioni nel garantire la conformità al GDPR, ma apre anche la strada a un approccio più equo e bilanciato, in cui le sanzioni non saranno più uno strumento coercitivo, ma una estrema ratio per assicurare la protezione dei dati.
L’augurio è che le intenzioni della Corte vengano effettivamente comprese e messe in pratica dalle aziende, per cui finalmente la protezione dei dati passi dall’attuale, diffusa considerazione che si tratti di un inutile tributo da pagare alla burocrazia europea, ad una consapevolezza che i nostri dati personali sono, veramente, un patrimonio da tutelare e proteggere.
Volume consigliato per l’approfondimento
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento