garante-privacy-chi-e-cosa-fa

Abbiamo, già, ampiamente trattato delle modalità di esercizio dei poteri di indagine del Garante per la Protezione dei Dati Personali), nonché delle modalità di definizione degli ambiti di intervento che il Garante definisce, con cadenza semestrale, attraverso un dettagliato piano di attività ispettive.

Non possiamo, tuttavia, dimenticare che alle attività ispettive che l’Autorità Garante definisce d’ufficio, si affiancano quelle attività di verifica che vengono predisposte su impulso degli Interessati, a seguito di segnalazioni da parte di consumatori, clienti, dipendenti, fornitori che hanno visto leso un proprio diritto.

Ma quali sono le violazioni che espongono Titolari e Responsabili a possibili sanzioni, quali i rischi per il mancato rispetto dei dettami di legge e, soprattutto, come posso essere calcolare le sanzioni amministrative pecuniarie irrogate dal Garante?

Quali violazioni privacy determinano possibili sanzioni?

Il Regolamento UE 2016/679 (c.d. GDPR) dettaglia in maniera specifica le violazioni che determinano l’inflizione di sanzioni amministrative pecuniarie. A tali previsioni, inoltre, si devono aggiungere quelle previste dal  D. Lgs. 30 giugno 2003, n.196 (Codice Privacy); si ricorda, infatti, che il Regolamento, ai sensi dell’art. 84, impone agli Stati membri di stabilire “le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’art.83”.

Le violazioni, quindi, sono definite secondo su due ordini di inadempimenti, suddivisi sulla scorta della loro gravità.

Vediamoli nel dettaglio.

Sanzioni di gravità minore

Rientrano nelle violazioni di minore gravità quelle previste ai sensi degli artt. 83 par.4 del GDPR e 166 co.1 del D. Lgs. 30 giugno 2003, n.196, che attengono alle inosservanze dei seguenti obblighi e articoli:

  • obblighi del titolare e del responsabile del trattamento a norme degli artt. 8 (Consenso dei minori), 11 (Trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolarità del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazioni d’impatto, Data Protection Officer), 42 e 43 (meccanismi e organismi di certificazione) GDPR;
  • obblighi dell’organismo di certificazione a norma degli artt.42 e 43 GDPR;
  • obblighi dell’organismo di controllo a norma dell’art. 41, par.4 GDPR;
  • art. 2 quinquies, comma 2 Codice Privacy (informativa ai minori);
  • art. 2 quinquiesdecies Codice Privacy (trattamento che presenta rischi elevati per lo svolgimento di un compito di interesse pubblico);
  • art.92, co. 1 Codice Privacy (cartelle cliniche);
  • art.93, co.1 Codice Privacy (certificato di assistenza al parto);
  • art.123, co.4 Codice Privacy (informative agli utenti per I dati relativi al traffico telefonico);
  • art.128 Codice Privacy (blocco dei trasferimenti di chiamata);
  • art.129, co.2 Codice Privacy (consenso per l’inclusione negli elenchi telefonici);
  • art.132 ter Codice Privacy (misure di sicurezza per i fornitori di servizi di comunicazione elettronica);
  • mancato svolgimento della Valutazione d’Impatto di cui all’art.110, co.1 primo periodo Codice Privacy;
  • mancata consultazione preventiva del Garante rispetto ai programmi di ricerca ex art.110, co.1 terzo periodo Codice Privacy.

Sanzioni di gravità maggiore

Rientrano, invece, nelle violazioni di più grave rilevanza, quelle previste ai sensi degli artt.83, par.5 GDPR e 166, co.2 Codice Privacy, a norma dei quali si rendono responsabili di una violazione Titolari e Responsabili che non osservano i seguenti precetti:

  • mancato rispetto dei principi base del trattamento, comprese le condizioni prescritte per la formulazione del consenso a norma degli artt.5 (principi applicabili al trattamento dei dati), 6 (liceità del trattamento), 7 (consenso) e 9 (dati particolari) GDPR.
  • inosservanza dei diritti degli interessati ex artt. da 12 a 22 (Capo III relativo agi diritti dell’interessato) GDPR;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese al di fuori dello Spazio Economico Europeo o un’organizzazione internazionale a norma degli artt. da 44 a 49 GDPR;
  • inosservanza degli obblighi adottati dagli Stati membri a norma del Capo IX GDPR, concernente le disposizione relative a specifiche situazioni di trattamento;
  • inosservanza di un ordine, una limitazione provvisoria o definitiva di trattamento, di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’art. 58, par.2 GDPR, o ancora di un mancato accesso in violazione dell’art. 58, par.1 GDPR;
  • inosservanza degli art. 2 ter (base giuridica per trattamenti in esecuzione di compiti di interesse pubblico o connesso all’esercizio di pubblici poteri), 2 quinquies, co.1 (consenso dei minori), 2 sexies (trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante), 2 septies, co.8 (non diffusione di dati genetici, biometrici e relativi alla salute), 2 octies (dati relativi a condanne penale e reati), 2 terdecies co.1, 2, 3 e 4 (dati riguardanti i defunti), 52 co.4 e 5 (diritti identificativi), 75 (trattamenti per finalità di tutela della salute e incolumità fisica dell’interessato), 78 (informazioni del medico di medicina generale), 79 (informazioni di strutture che erogano prestazioni sanitarie e socio-sanitarie), 80 (informazioni da parte di altri soggetti), 82 (emergenza e tutela della salute e dell’incolumità),
    92, co.2 (cartelle cliniche), 93, co.2 e 3 (certificato di assistenza al parto), 96 (trattamento dati degli studenti), 99 (durata del trattamento), 100, co.1, 2 e 4 (attività di studio e ricerca), 101 (modalità di trattamento per archiviazione o ricerca storica), 105 co.1, 2 e 4 (modalità di trattamento per fini statistici e ricerca scientifica), 110 bis, co.2 e 3 (trattamento ulteriore di dati per fini di ricerca scientifica o fini statistici), 111 (trattamenti nell’ambito del rapporto di lavoro), 111 bis (ricezione curriculum), 116, co.1 (conoscibilità di dati su mandato dell’interessato), 120, co.2 (sinistri), 122 (informazioni raccolte nei riguardi del contraente o dell’utente), 123, co.1, 2, 3 e 5 (dati relativi al traffico), 124 (fatturazione), 125 (identificazione della linea), 126 (dati relativi all’ubicazione), 130, co. da 1 a 5 (comunicazioni indesiderate), 131 (informazioni a contraenti e utenti), 132 (conservazione di dati di traffico per altre finalità), 132 bis, co.2 (procedure istituite dai fornitori), 132 quater (informazione sui rischi), 157 (informazioni ed esibizione di documenti), nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2 septies e 2 quater del Codice Privacy.

Gli importi delle sanzioni

Gli importi delle sanzioni irrogabili seguono valori predeterminati, che la normativa privacy ha individuato in una somma massima comminabile, o in una percentuale da calcolarsi sul fatturato dell’impresa

Come già anticipato nel paragrafo precedente, le violazioni seguono due ordini di valori, definiti sulla scorta della gravità della violazione. Con riferimento, quindi, alle violazioni di natura inferiore, l’art.83, par.4 GDPR prevede una sanzione amministrativa pecuniaria sino a €.10.000.000,00 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Le violazioni più gravi, invece, ex art. 84, par.5 GDPR sono soggette a sanzioni amministrative pecuniarie sino a €.20.000.000,00 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Stante il rigore della normativa che, rispetto al passato ha visto un forte aggravamento delle pene e stante l’ampio spettro di azione dell’autorità nella determinazione della sanzione da irrogare, sono stati definiti dei parametri attraverso cui favorire la definizione del quantum. Più precisamente, quindi, l’Autorità Garante, fermo il rispetto dei principi di effettività, proporzione e dissuasività delle sanzioni, nel comminare le stesse dovrà tenere conto di una serie di fattori: natura, gravità e durata della violazione; carattere doloso o colposo dell’inadempienza; misure adottate per il contenimento del danno subito dagli Interessati; grado di responsabilità tenuto conto delle misure tecniche e organizzative implementate dal Titolare o dal Responsabile; presenza di precedenti violazioni; grado di cooperazione mostrata con l’autorità di controllo.

Proprio con riferimento ai criteri di cui all’art. 83 GDPR sopra citati, in data 12 maggio 2022, l’European Data Protection Board (EDPB), ovvero il Comitato Europeo per la Protezione dei dati deputato a garantire a livello europeo l’applicazione coerente della normativa privacy, ha adottato le Linee Guida 04/2022 sul calcolo delle sanzioni amministrative, finalizzate all’armonizzazione della modalità di definizione delle sanzioni da parte delle Autorità Garanti degli Stati Membri. Tale documento integra le precedenti Linee Guida adottate dal Working Party Art. 29, n.253, che dovrà essere valutato come complementare al predetto documento.

In primo luogo, quindi, al fine di definire gli importi delle sanzioni, le Linee Guida prescrivono la necessità di una disamina del numero di condotte sanzionabili e del numero di violazioni poste in essere. Nel dettaglio, poi, occorre identificare le singole operazioni di trattamento, valutando l’eventuale possibilità di un’applicazione del limite al cumulo sanzionatorio di cui all’art. 83, par. 3 GDPR.

Secondariamente, le Linee Guida prescrivono un “metodo armonizzato” di calcolo della sanzione, imponendo la valutazione di tre circostanze preliminari: tipologia di violazione, gravità della violazione e fatturato dell’impresa.

In terzo luogo, poi, le Linee guida definiscono un obbligo di determinazione della sussistenza di fattori aggravanti o attenuanti che, conseguentemente, possano aumentare o diminuire l’importo delle sanzioni stesse.

La quarta fase consiste nella definizione dei massimali stabiliti dalla normativa GDPR, sì da garantire il contenimento delle sanzioni nei limiti di legge.

In ultimo è rimessa all’Autorità la verifica della rispondenza della sanzione, così come definita alla luce delle circostanze predette, ai requisiti di effettività, proporzionalità e dissuasività o, in caso contrario, se sia necessario un ulteriore adeguamento della stessa.

Quali sono le violazioni privacy più sanzionate?

Fatte queste doverose premesse viene da chiedersi, quindi, quali siano gli ambiti maggiormente oggetto di sanzione, o meglio, le violazioni per le quali le Autorità Garanti maggiormente si sono pronunciate.

Alla luce di una statistica legata alle sanzioni comminate dalle Autorità Garanti Europee di tutela dei dati personali a far data dall’entrata in vigore del Regolamento Generale per la Protezione dei Dati, troviamo:

  1. al primo posto il mancato rispetto dei principi generali di trattamento dei dati, che ha visto un importo di sanzioni irrogate pari a €. 2.025.814.279,00, per un totale di 500 provvedimenti pronunciati;
  2. al secondo posto, poi, sono ben 596 le pronunce rivolte a violazioni riguardanti una definizione insufficiente della base giuridica del trattamento dei dati, con un totale di sanzioni irrogate pari ad €.1.648.677.972,00.
  3. al terzo posto, infine, troviamo una predisposizione di misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni, che ha portato alla sanzione di ben 339 tra Titolari e/o Responsabili per un importo totale di €.382.382.575,00.

Hanno, certamente, destato clamore le sanzioni a Meta Platforms Ireland Limited, che si è vista notificare la più alta ingiunzione di pagamento della storia Regolamento, per l’importo di €.1.200.000.000, o quella ad Amazon Europe Core S.à.r.l. che ha dovuto corrispondere al Garante del Lussemburgo, dove ha sede legale, l’importo di €. 746.000.000,00.

Non dobbiamo, tuttavia, dimenticare che l’applicazione del General Data Protection Regulation prescinde dalle dimensioni del Titolare o del Responsabile che rispondono dei propri inadempimenti per il solo fatto di averli posti in essere, senza che vengano valutati criterio dimensionali. Si ricorda che in Italia, ad oggi, sono oltre trecento le sanzioni disposte dal Garante, per una somma pari a €.134.409.327,00, comminate anche a professionisti e piccole e medie società.

A chi viene comminata la sanzione amministrativa all’interno di un’azienda?

Uno dei principi fondamentali della normativa è l’accountability, secondo cui Titolare e Responsabile non solo devono, garantire il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno, altresì, adottare e dimostrare di aver adottato, una serie di misure giuridiche, tecniche e organizzative, per la protezione dei dati personali.

Ma chi risponde in caso di inadempimento?

L’onere di attuare tutti gli obblighi del General Data Protection Regulation (GDPR) ricade sul Titolare o sul Responsabile cui quest’ultimo ha affidato il compito e, ai sensi dell’art. 4, par. 7 GDPR, entrambi possono essere una persona fisica, o un soggetto giuridico e, in quest’ultimo caso, il destinatario della sanzione amministrativa sarà il soggetto giuridico “nel suo complesso”.

In tal senso si è, analiticamente, espresso il Working Party Art.29, con il Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010: “nell’ottica strategica dell’attribuzione delle responsabilità, e per dare agli Interessati un’entità di riferimento più stabile e più affidabile per l’esercizio del loro diritti ai sensi della direttiva, sarebbe preferibile considerare come responsabile del trattamento la società o l’organismo in quanto tali piuttosto che una specifica persona al loro interno. Sono la società o l’organismo a dovere, in ultima analisi, essere considerati responsabili del trattamento dei dati e degli obblighi derivanti dalla normativa sulla protezione dei dati, a meno che non vi siano elementi chiari che indichino che a rispondere di ciò sia una persona fisica. In generale, occorre presupporre che la società o l’organismo pubblico siano responsabili in quanto tali dei trattamenti che avvengono nel loro ambito di attività e di rischi”.

Talvolta, le società sono solite designare un dipendente quale responsabile dell’attuazione dei trattamenti e dell’implementazione del sistema privacy. Tuttavia, anche di fronte a teli circostanze, il Working Party Art.29 ha definito come la responsabilità del rispetto dei principi di protezione dei dati non sarà della persona designata, che “agirà per conto della persona giuridica, società od organismo pubblico, che risponderà, in qualità di responsabile del trattamento, in caso di violazione”.

 

Garante Privacy: reclami, ispezioni e ricorsi

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!