Quali sono le sanzioni per la violazione della privacy?
È oramai noto tutti che, di recente, la materia della privacy ha subìto una rilevante modifica. Basti pensare, ad esempio, alle tantissime email che abbiamo ricevuto, ove ci si chiedeva di aggiornare in maniera esplicita il nostro consenso al trattamento dei dati personali. Perché abbiamo ricevuto queste e-mail? La risposta è abbastanza semplice: è entrato in vigore il GDPR.
In tutti gli Stati membri dell’Unione Europea il 25 maggio 2018 è entrata in vigore la nuova disciplina in tema di privacy, il cosiddetto GDPR (General Data Protection Regulation) ovvero il regolamento UE 2016/679, che ha comportato una vera e propria rivoluzione nel mondo dei dati personali.
Tralasciando le importanti novità introdotte dal GDPR, tra le quali il diritto all’oblio e l’introduzione della figura del DPO (Data Protection Officer) all’interno delle aziende, giova qui concentrarci su quali sono le possibili sanzioni che i trasgressori potrebbero subire in caso di violazione della privacy.
Se fino al 24 maggio 2018 l’unica normativa di riferimento era il d.lgs. 196 del 30 giugno 2003, il codice della privacy, il quale prevedeva sanzioni più o meno blande, dal 25 maggio il quadro normativo è radicalmente cambiato, soprattutto avendo riguardo alle sanzioni amministrative.
1. Sanzioni amministrative
La novità più dirompente, infatti, riguarda proprio le sanzioni amministrative pecuniarie che sono divenute più stringenti e severe. Basti pensare, ad esempio, che secondo il codice della privacy la multa più onerosa arriva ad un importo massimo di € 120.000,00 per incompleta o omessa notificazione al Garante della privacy. Oggi, invece, la situazione è ben diversa.
Giusto a titolo esemplificativo riportiamo qualche caso di violazione con la correlativa sanzione.
Ai sensi dell’art. 83 GDPR, i singoli dovranno pagare fino a 10 milioni di € e le imprese fino al 2% del fatturato annuo mondiale nei seguenti casi:
- trattamento illecito dei dati personali che non richiede l’identificazione dell’interessato;
- mancata o errata notificazione di una data breach (cioè fuga di dati) all’autorità nazionale competente;
- violazione dell’obbligo di nomina del DPO;
- omessa applicazione di misure di sicurezza.
L’importo delle sanzioni può spingersi per i singoli fino a 20 milioni di € e per le imprese fino al 4% del fatturato annuo mondiale nei seguenti casi:
- inottemperanza all’ordine imposto dall’autorità nazionale competente;
- trasferimento illecito di dati personali ad un soggetto di un Paese terzo.
A ben vedere, si tratta di sanzioni abbastanza onerose che in ogni caso saranno commisurate – e così è stato anche affermato dal nostro Garante della privacy – al tipo di violazione commessa. Ogni Stato membro, infatti, ha un margine di discrezionalità nello stabilire quale sanzione infliggere e l’importo della medesima avendo riguardo a tre criteri:
- natura, gravità e durata della violazione;
- carattere doloso o colposo della violazione;
- grado di cooperazione con l’autorità al fine di ridurne gli effetti e/o eliminarli.
2. Risarcimento del danno
Dal punto di vista civile quali sono le novità?
Ai sensi dell’art. 82 GDPR il singolo interessato, vittima della violazione, ha sempre la possibilità di rivolgersi all’autorità competente per chiedere il risarcimento del danno patrimoniale e non patrimoniale.
Il diritto al risarcimento del danno sorge tutte le volte in cui il titolare o il responsabile del trattamento dei dati abbiano posto in essere una condotta in violazione delle prescrizioni del GDPR.
Da quanto dianzi detto possiamo notare una rilevante differenza rispetto all’art. 15 codice della privacy che, invece, prevede che chiunque (e non solo il titolare o il responsabile del trattamento) sia tenuto a risarcire il danno.
Sembrerebbe conseguirne allora che solo il titolare e il responsabile del trattamento potranno essere chiamati a rispondere in sede civile e non anche altri soggetti. A tal proposito, si auspica un intervento chiarificatore del legislatore al fine di evitare vuoti di tutela.
Dunque, che differenza c’è tra titolare e responsabile del trattamento?
Il titolare è considerato responsabile per i danni causati dal trattamento illecito dei dati e per tutte le altre violazioni previste dalla legge.
Il responsabile, invece, risponde solo della violazione degli obblighi posti a suo carico oppure nel caso in cui abbia disatteso le istruzioni del titolare. Egli, peraltro, ha anche il dovere di avvisare il titolare del trattamento nel caso di condotte non correttamente disciplinate.
Il titolare e il responsabile sono tenuti a risarcire il danno “in solido”, inteso come responsabilità pro quota. In altre parole, ciascuno dovrà risarcire il danno in funzione del proprio grado di responsabilità.
Essi non sono tenuti al risarcimento del danno laddove riescano a dimostrare:
- che l’evento dannoso sia stato cagionato da un fatto a loro non imputabile;
- di aver adottato tutte le misure atte ad evitare il danno.
3. Il reato
Dal punto di vista penale, il GDPR lascia agli Stati membri la possibilità di introdurre delle specifiche fattispecie. Si è stabilito, infatti, che laddove per gli stessi fatti illeciti venga applicata una sanzione amministrativa, la pena sarà diminuita.
In linea generale lo schema di decreto attuativo – ancora non approvato - aggiunge ulteriori fattispecie di reato a quella già presente nel codice della privacy di cui all’art. 167 (trattamento illecito dei dati che abbia arrecato nocumento all’interessato). Le fattispecie sarebbero le seguenti:
- comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone (art. 167 bis);
- acquisizione fraudolenta di dati personali (art. 167 ter);
- interruzione o turbamento della regolarità del procedimento innanzi al garante (art. 168 comma 2).
Come abbiamo visto, le sanzioni amministrative sono abbastanza gravose e, pertanto, è fortemente consigliato rivolgersi a persone esperte della materia, in particolare avvocati, i quali sapranno suggerire le misure idonee da adottare non solo per prevenire una violazione della privacy ma anche, laddove sia stato commesso un illecito, per attenuarne gli effetti negativi.
Fonti normative
D. lgs. 196 del 30 giugno 2003: codice della privacy
Regolamento UE 2016/679: GDPR
Non sai se hai commesso violazione della privacy? Pensi che abbiano violato il tuo diritto alla privacy? Ti serve un avvocato specializzato nella privacy? Esponici il tuo caso. AvvocatoFlash ti metterà in contatto con i migliori avvocati online. Tre di loro ti invieranno un preventivo gratuitamente e sarai tu a scegliere a chi affidare il tuo caso.