La normativa a protezione dei dati personali, GDPR, individua specifici requirements (obblighi) a carico sia del Titolare del Trattamento che del Responsabile del Trattamento. Quali sono le conseguenze legate alla violazione di tali obblighi?

Il GDPR, come è noto, prevede un impianto sanzionatorio molto più pregnante rispetto alla precedente normativa (il d. lgs n°196/03 per altro ancora in vigore e modificato dal d. lgs. n°101/18).

La prima conseguenza “sanzionatoria” latu sensu intesa, derivante dal non rispetto di quanto richiesto dalla normativa, la si rintraccia nell’art. n°2-decies del d.lgs. n°196/03, così come modificato dal d. lgs. n°101/18, il quale prevede la inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia (viene fatto salvo quanto previsto dall’art. n°160-bis del decreto citato relativamente alla utilizzabilità di tali dati a fini strettamente processuali la quale per espressa previsione viene disciplinata dalle disposizioni processuali pertinenti).

Tornando alla lettura del Regolamento, gli artt. n°83 par. 4 e par. 5, impongono l’irrogazione di sanzioni amministrative, nel caso di violazione di alcune delle disposizioni del GDPR, individuando due scaglioni sanzionatori in ordine crescente:

1) sanzione amministrativa pecuniaria fino a 10 milioni di euro o per le imprese fino al 2% del fatturato mondiale annuo calcolato sull’esercizio precedente, se il fatturato in questione supera la soglia dei 10 milioni di euro. Rientrano in questo scaglione (solo a titolo esemplificativo): la violazione delle norme di cui agli artt. 25-39 del GDPR, relative ai Principi Di Privacy By Design e Privacy By Default o alla tenuta del registro dei Trattamenti o ancora all’obbligo di comunicazione di un avvenuto Data Breach.

2) sanzione amministrativa pecuniaria fino a 20 milioni di euro o per le imprese fino al 4% del fatturato mondiale annuo calcolato sull’esercizio precedente, se il fatturato in questione supera la soglia dei 20 milioni di euro. Rientrano in questo scaglione (solo a titolo esemplificativo): violazioni di disposizioni relative al consenso o al trasferimento dei dati all’estero (si legga EXTRA UE).

Il d. lgs. n°101/18, nell’adeguare il nostro vecchio codice Privacy alle nuove disposizioni, con una mossa non troppo scaltra procede invece all’abrogazione di tutte le vecchie fattispecie a carattere sanzionatorio amministrativo, inserendo tutte le “condotte” all’interno del solo articolo n°166 che diventa norma di non facile lettura anche per l’esperto.

Mantenendo la suddivisione in scaglioni come sopra esposta, l’art. n°166 del novellato Codice Privacy prevede le sanzioni di cui al primo scaglione per la violazione (anche qui solo a titolo esemplificativo): dell’art n°2-quinquies comma 2 (informativa da rendere con linguaggio semplificato ai minori in occasione dell’offerta di beni o servizi della società dell’informazione), e ancora dell’art. n°2-quinquiesdecies (relativo ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico).

Prevede invece la comminazione di sanzioni di cui al secondo scaglione (solo a titolo esemplificativo) per la violazione dell’art. n°2-sexies (sul trattamento di categorie particolari di dati per motivi di interesse pubblico rilevante) e ancora dell’art. n°2-octies (sul ai trattamenti di dati relativi a condanne penali e reati).

Come è facile intuire la ricostruzione di tutte le fattispecie sanzionabili non è cosa semplice.

Tali sanzioni di carattere amministrativo come più volte ricordato, verranno comminate dall’autorità di controllo di ogni Stato Membro che, nell’esercizio di questo compito, dovrà garantire in accordo con l’art n°83 par.1 GDPR che tali sanzioni siano effettive proporzionate e dissuasive, seguendo i parametri di cui al successivo par. 2 per determinare il quantum stesso della irroganda sanzione.

In ogni caso si ricorda che, nel nostro ordinamento giuridico, l’illecito amministrativo è regolato dalla legge n°689/81. Una delle caratteristiche principe di questo tipo di violazione consiste nella irrilevanza dell’elemento soggettivo del contravventore ai fini della applicabilità della sanzione. In poche parole è indifferente se la norma viene violata per colpa (la semplice dimenticanza) o con il proposito interiore di porsi scientemente in contrasto con ciò che la norma chiede: la sanzione verrà comunque elevata dall’autorità di controllo. Resta inteso che il dolo o la colpa dell’agente avranno il loro riverbero sul quantum della sanzione effettivamente comminata.

In questa ricostruzione non si dimentichi infine che le sanzioni sono sempre elevate a carico del Titolare del Trattamento, soggetto individuato dalla norma, il quale deve necessariamente conformarsi a quanto richiesto dalla stessa per tutelare i dati personali degli interessati coinvolti nel trattamento. Viene fatta salva dal Regolamento stesso la possibilità di elevare una sanzione anche a carico del Responsabile del Trattamento nel caso in cui l’obbligo violato sia posto dal regolamento in capo a questi, (si pensi alla tenuta del registro del trattamento nella veste di responsabile), in questi casi la sanzione quindi, potrà essere elevata direttamente al Responsabile.