di Silvia Martinelli - Perfezionata in "Informatica Giuridica" e Cultore della materia presso l’Università degli Studi di Milano
Nel regolamento europeo sulla privacy sono state inasprite le sanzioni amministrative pecuniarie applicabili in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa. Stabilito un importo massimo applicabile dal Garante e, ove si tratti di impresa, un metodo di quantificazione alternativo che consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente. In aggiunta, il regolamento riconosce all’interessato il diritto al risarcimento del danno dal titolare o dal responsabile del trattamento.
Il diritto dell’Unione europea prevede alcune delle conseguenze previste in caso di trattamento di dati effettuato in modo non conforme a quanto previsto dalla normativa di settore. In particolare, il Regolamento prevede le sanzioni amministrative applicabili e il diritto al risarcimento dell’interessato.
A questo si aggiungono poi le ulteriori previsioni del legislatore nazionale e, in primo luogo, quelle di natura penale.
Diritto al risarcimento dell’interessato
Ai sensi dell’art. 82 del Regolamento, “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Inoltre, nella suddivisione delle responsabilità tra il titolare e il responsabile, il Regolamento precisa che il titolare “risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”, mentre il responsabile “risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.
Per essere esonerati dalla responsabilità, titolare e responsabile devono provare che l’evento dannoso non gli è in alcun modo imputabile.
Si tratta, quindi, di una responsabilità che, nonostante i diversi orientamenti presenti in dottrina sulla sua esatta qualificazione, è assimilabile a quella prevista in materia di attività pericolose ex art. 2050 del codice civile.
Sanzioni amministrative pecuniarie
Le Autorità garanti possono infliggere sanzioni amministrative pecuniarie ove il Regolamento non sia rispettato.
Il Regolamento ha comportato un inasprimento delle sanzioni amministrative pecuniarie che le Autorità garanti (o le altre autorità o organismi pubblici previste dal diritto dello Stato membro) possono infliggere sanzioni amministrative pecuniarie ove la normativa a protezione dei dati personali non sia rispettata. In particolare, con riguardo alle sanzioni amministrative pecuniarie, ai fini della quantificazione, ove si tratti di impresa, può rilevare il fatturato annuo.
Determinazione della sanzione in rapporto al fatturato
Le sanzioni sono strutturate in modo da prevedere una cifra massima che il Garante può applicare e, ove si tratti di impresa, un metodo di quantificazione alternativo, da applicarsi ove il quantum in tal modo determinato sia superiore al massimo della sanzione applicabile. Tale metodo di quantificazione consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente.
Nel caso in cui, quindi, la percentuale (indicata dalla norma) del fatturato annuo sia superiore alla sanzione massima prevista dalla norma, sarà la prima a dover essere applicata.
La funzione di tale previsione è quella di evitare che aziende di grandi dimensioni possano disapplicare il Regolamento e considerare le sanzioni quali semplici costi di impresa.
Sanzioni previste dal Regolamento
In particolare, il Regolamento prevede la sanzione fino a € 10.000 o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per il caso di violazione delle seguenti disposizioni:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
In secondo luogo, vi è la sanzione fino a € 20.000.000 o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per il caso di violazione delle seguenti disposizioni:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1”. Inoltre, la sanzione fino a € 20.000.000 o al 4% del fatturato si applica all’inosservanza di un ordine delle Autorità garanti.
Valutazione sull’applicazione della sanzione e sul quantum
Le sanzioni, che devono essere effettive, proporzionate e dissuasive, sono inflitte, in funzione delle circostanze di ogni singolo caso.
In particolare, ai fini della decisione di infliggere la sanzione, nonché in relazione alla determinazione dell’ammontare, la Autorità valutano:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione”.
Copyright © - Riproduzione riservata
Archivio news