Abbiamo visto che a fronte dell’entrata in vigore del Regolamento Europeo 2016/679 gli Stati membri, nello specifico le singole Autorità Garanti deputate al controllo e alla vigilanza, dopo un breve periodo di quiescenza nel corso del quale hanno permesso a tutti gli attori coinvolti dal GDPR di far proprio ed assimilare i dettami in esso contenuti, hanno iniziato la dovuta attività di vigilanza procedendo alla comminazione (all’esito di un’istruttoria positiva) delle sanzioni previste dal GDPR che, ricordiamo, sono di tipo amministrativo.
Nello specifico, è prevista la possibilità di applicare sanzioni amministrative che possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale a fronte di, a titolo esemplificativo:
- violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
- trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
- mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
- violazione dell’obbligo di nomina del DPO;
- mancata applicazione di misure di sicurezza.
L’importo delle sanzioni amministrative pecuniarie può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa a fronte di:
- inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
- trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.
Ovviamene non tratteremo, nel presente articolo le sanzioni previste dal GDPR di ordine penale, la cui formulazione e applicazione è rimessa ai singoli Stati membri in attuazione del Considerando 149 ed all’art. 84 del GDPR.
Indice degli argomenti
Le sanzioni previste dal GDPR: un valido deterrente
Le Autorità Garanti dei diversi Stati membri hanno comminato provvedimenti sanzionatori basando il loro operato ispettivo sulla verifica in capo al titolare del trattamento del cosiddetto principio del “risk based approach”, che prevede che il titolare dovrà progettare, sin dal principio, il proprio trattamento, stimando l’esistenza di possibili rischi per i diritti e le libertà degli interessati.
Tale valutazione iniziale determinerà l’entità della responsabilità nonché la possibilità di essere sanzionabile in caso di scollamento da quanto previsto dal regolamento.
Ciò che emerge a tutt’oggi è che se da una parte l’apparato sanzionatorio (a fronte degli elevati importi pecuniari finora comminati) può fungere da deterrente dal compiere atti in aperta violazione del trattamento dei dati, dall’altro resta una spada di Damocle, pendente sulla testa delle società oggetto di ispezione.
Infatti, analizzando tutti i procedimenti sanzionatori emessi dal 25 maggio 2018 dalle diverse Autorità di controllo e vigilanza deli Stati membri, emerge che ciascuna “Autorità” dispone di una propria discrezionalità amministrativa; pertanto, pur nei confini di quanto statuito dal Reg. 2016/679 può disciplinare le singole fattispecie in maniera diversa, a seconda della strutturazione della policy privacy applicata dal titolare del trattamento in ottemperanza agli obblighi privacy.
Tale alea, che incide sulle valutazione dei singoli aspetti privacy, deriva dall’applicazione da parte dei diversi titolari e responsabili del trattamento del termine cosiddetto “accountability”, che riprendendo quanto disposto dal Considerando 74 e dall’art. 24, prevede che il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure stesse.
Siamo di fronte ad un cambiamento fondamentale poiché si è passati dall’applicazione di “misure minime di sicurezza” previste dal vecchio D.lgs. 196/2003 a “misure adeguate”.
Tutto questo ha portato un grande cambiamento poiché si è passati da una standardizzazione dei trattamenti in materia di dati personali, ad un nuovo modello di analisi e trattamento degli stessi fondato su un approccio sartoriale in riferimento ad ogni singola fattispecie, attraverso l’applicazione dei già noti principi privacy by default e privacy by design.
Ne consegue che, se da una parte ogni titolare del trattamento deve verificare quali sono le misure più correte da applicare ai diverse tipologie di trattamento interessate, essendo in grado al contempo di giustificare il perché di determinate scelte, dall’altra proprio tali scelte saranno oggetto di valutazione in sede di attività ispettiva da parte dell’Autorità di controllo.
Valutazione che per quanto corretta, non potrà che essere oggetto di discrezionalità, essendo frutto dell’applicazione di una norma di ampia portata (il Regolamento UE 2016/679) al caso concreto.
Le Autorità Garanti, pertanto, sono organismi che oggi più che mai hanno un importante ruolo di responsabilità, ma soprattutto devono rivestire la funzione più importante e cioè di garanzia per la corretta applicazione della normativa in esame.
È necessario che le stesse utilizzino il potere sanzionatorio non come strumento punitivo utile a far cassa, ma piuttosto come deterrente esclusivamente in caso di comportamenti “evidentemente e palesemente difformi” dagli obblighi del GDPR.
Conclusioni
Infatti, in conclusione, ad avviso di chi scrive, è auspicabile che nei casi di non manifesta violazione dei dati personali, ma di esclusivo trattamento subordinato ad una compliance aziendale sufficiente, ma migliorabile in alcuni aspetti nel rispetto del principio della cosiddetta accountability, le Autorità Garanti mettano da parte l’applicazione di strumenti sanzionatori sostituendoli con raccomandazioni vincolanti (verificandone successivamente l’effettiva adozione) utili a migliorare la gestione della privacy da parte del titolare così da coadiuvarlo a colmare le lacune evidenziate.
Da tutto ciò emerge che la gestione del trattamento dei dati personali, oggi più che mai, vivendo in un mondo interconnesso che viaggia ad una velocità elevata, con trasmissioni di migliaia di terabyte giornaliere, deve essere prioritaria per tutti coloro che hanno un ruolo in tale campo.
Ecco perché la tanto reclamata “accountability” si può raggiungere solamente con la collaborazione di tutti gli attori, siano essi titolari del trattamento, responsabili, DPO ma soprattutto grazie alle Autorità Garanti.
Queste ultime devono fungere da faro, non soltanto per i cittadini/consumatori n.q. di soggetti interessati al trattamento del dato, ma anche per i titolari del trattamento che sono per la maggioranza soggetti PMI, che pur nelle mille difficoltà applicative dettate anche dall’onerosità delle modifiche da attuare, devono vedere Il GDPR non come un mero obbligo, ma come un’opportunità per offrire un servizio ai propri clienti non solo qualitativamente migliore ma anche più sicuro nel rispetto dei loro diritti.
