Le sanzioni amministrative nel GDPR
di Valentina Brovedani
L’entrata in vigore del GDPR (General Data Protection Regulation) ha tenuto banco per mesi sulle prime pagine delle più autorevoli riviste giuridiche.
Il novello sistema di protezione dei dati personali presenta sostanziali originalità a tutela dei dati e della circolazione dei medesimi e articolate innovazioni in ambito sanzionatorio, con particolare riguardo alle sanzioni amministrative.
In linea con la teoria sanzionatoria generale, il Legislatore comunitario ha proceduto ad indicare i soggetti responsabili delle violazioni attraverso un principio generale di responsabilità civile ripartita tra titolare e responsabile del trattamento dei dati. Ciò, per tutti i casi di danno prodotto, all’interessato o a terzi, nello svolgimento delle attività connesse al trattamento.
Le fattispecie prescrittive sono contenute nel disposto dell’art. 83 del Regolamento (reg. (UE) n. 679/2016), dal cui incipit emerge il principio di applicazione generale di proporzionalità della pena alla violazione, in considerazione della gravità del fatto commesso e della natura dolosa o colposa della trasgressione, nonché di eventuali reiterazioni del comportamento illecito e di collaborazione con il Garante della Privacy, quale organo competente ad irrogare le sanzioni medesime.
Il Garante per la Protezione dei Dati Personali, dovrà pertanto valutare le singole violazioni e bilanciare equamente gli elementi fattuali tenendo conto, così come indicato al considerando 148 del Regolamento, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive, la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa e le categorie di dati personali interessate dalla violazione. Non solo. Dovrà debitamente accertare il rispetto di adeguate garanzie procedurali costituenti principi generali del diritto dell’Unione e della Carta, inclusi l’effettiva tutela giurisdizionale e il giusto processo.
Sostanzialmente, l’art. 83 del Gdpr, nonché la corrispondente norma attuativa, l’art. 166 d.lgs. n. 101/2018, distingue due gruppi di sanzioni amministrative.
fino a 10 milioni di euro per le imprese: fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore |
Violazioni di minore gravità commesse dai seguenti soggetti:
– il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 Gdpr); – l’organismo di certificazione, Accredia; – l’organismo di controllo dei codici di condotta (art. 41 Gdpr). |
fino a 20 milioni di euro per le imprese: fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore |
Violazioni di maggiore gravità:
– dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; – dei diritti degli interessati a norma degli articoli da 12 a 22; – i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; – qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; – l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 Gdpr. |
Il Garante Italiano della privacy, Antonello Soro, ha recentemente confermato la linea europea, dichiarando che il Regolamento “configura la sanzione amministrativa come una delle possibili reazioni (non certo l’unica) all’illecito, da applicarsi con un approccio gradualistico, insieme o alternativamente alle misure inibitorie e prescrittive”.
E’ quindi pacifico che il momento nodale dell’irrogazione delle sanzioni amministrative, corrisponde non tanto alla aprioristica e statica previsione normativa, bensì alla fase dinamica di valutazione e bilanciamento delle circostanze pertinenti della situazione specifica.
In conformità e a rafforzamento del principio di proporzionalità, il Regolamento concede all’Autorità poteri correttivi, ovvero la facoltà di comminare, in alternativa o in aggiunta alle sanzioni amministrative, le altre sanzioni previste dall’art. 58, par. 2: potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica.
Il caso
Una prima sanzione è stata irrogata dal Garante tedesco il 22 novembre 2018, che ha condannato il sito Knuddels.de al pagamento di 20 mila euro per aver violato l’art. 32 del Gdpr, ovvero la norma relativa alla sicurezza del trattamento dei dati.
Knuddels (letteralmente “coccole”) è un sito di chat on-line popolare negli anni 2000. Nel mese di settembre, ha subito il leak di quasi 2 milioni di username e password e di più di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati. Gli inquirenti hanno individuato la causa di questo imponente data breach nella mancanza di misure di sicurezza adeguate alla protezione dei dati. Invero, dai rilievi è emerso che i dati dei 330.000 utenti interessati fossero conservati in chiaro, il che avrebbe facilitato agli hackers responsabili la loro diffusione attaccando i siti di file hosting/sharing Mega e Pastebin.
Knuddels ha prontamente scoperto l’accesso abusivo, informato i suoi utenti e il LfDI (Landesbeauftragte für den Datenschutz und die Informationsfreiheit) dell’accaduto ripristinato la situazione e innalzato il livello di sicurezza implementando la sua infrastruttura IT.
L’entità della sanzione è stata tuttavia attenuata dal comportamento collaborativo di Knuddels, che facendosi precedente ha aperto la strada al principio di proporzionalità.
Il Garante tedesco ha correttamente inteso e dato attuazione al sistema sanzionatorio impostato dal Gdpr contemperando gli interessi e le condotte in gioco e dando atto alla ratio secondo cui “chi impara dai danni e collabora con trasparenza al miglioramento della protezione dei dati può uscire rafforzato da un attacco di hacker”
Ne bis in idem
Tutto ciò coinvolge le violazioni minori e l’ipotesi in cui la condotta dei titolari, ovvero dei responsabili del trattamento, possa, nella situazione concreta, attutire i danni.
Tuttavia, il Legislatore nazionale, in attuazione del Regolamento, dispone l’irrogazione di sanzioni penali per i casi di violazione più gravi, nonché di alcune specifiche e limitate disposizioni normative, come ad esempio in caso di infrazione di alcuni dei requisiti sul trattamento dei dati sensibili e sul trasferimento internazionale di dati.
L’unico limite posto dal Regolamento, al Considerando n. 149, è che l’eventuale previsione di norme incriminatrici non produca violazioni sistematiche del diritto a non essere puniti due volte per il medesimo fatto di reato (c.d. principio del ne bis in idem) sancito dall’art. 50 della Carta dei diritti fondamentali dell’UE e dall’art. 4, Prot. 7 della CEDU.
Ciò non significa togliere spazio alla sanzione penale prevista dall’art. 167 del Codice, bensì stabilire che ove per gli stessi fatti venga applicata una sanzione amministrativa, a norma del Codice o del Regolamento, la pena debba essere diminuita.
La questione è dibattuta e non del tutto risolta, dal momento che il Legislatore europeo, istruito dalle vicende processuali comunitarie (si veda Grande Stevens ed altri c/o Italia, Engel criteria), è consapevole di aver previsto sanzioni amministrative particolarmente gravi (fino a 10 milioni di euro per le persone fisiche) che la Corte di Strasburgo potrebbe considerare di natura sostanzialmente penale. Se così fosse, l’applicazione allo stesso soggetto della sanzione “solo formalmente” amministrativa di matrice comunitaria e della sanzione penale di fonte nazionale per il medesimo fatto contrario alla normativa privacy esporrebbe lo Stato a censure della CEDU per violazione del diritto al ne bis in idem.
Autore: