Tra gli aspetti più rilevanti del GDPR c’è quello relativo alle sanzioni, che ha lo scopo di sensibilizzare le società al rispetto non solo della normativa, ma anche della privacy by design e privacy by default. In questo scenario un ruolo di preminente centralità e di guida è quello relativo alla “responsabilizzazione” del titolare e del responsabile del trattamento.
Le sanzioni in base al tipo di violazione
L’art. 83 del GDPR distingue le sanzioni applicabili secondo due modalità, in base alla gravità delle violazioni, che si distinguono quindi in “meno gravi” e “più gravi”, in riferimento al “peso” dei principi violati.
Per le violazioni meno gravi (art. 83, comma 4), la sanzione può essere di una somma fino a 10 milioni di euro oppure, se superiore a questa cifra, di una somma pari al 2% del fatturato mondiale totale annuo dell’esercizio precedente di un’azienda (intesa come gruppo, se la stessa ne fa parte, nel senso di gruppo di società che fanno capo ad una holding).
Le sanzioni sono previste dal GDPR nel caso di violazioni degli obblighi imposti al titolare ed al responsabile del trattamento, all’organismo di certificazione e all’organismo di controllo dei codici di condotta.
Per le violazioni più gravi, invece, la sanzione è prevista dall’art. 83 paragrafo 5 ed è quantificata in 20 milioni di euro, oppure, nel 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e in riferimento al fatturato totale del gruppo.
Quest’ultima si applicherà nel caso in cui saranno violati i principi di base:
- del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
- dei diritti degli interessati, a norma degli articoli da 12 a 22;
- dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
- di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
Sarà valida anche in caso di inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 del GDPR.
La determinazione delle sanzioni amministrative pecuniarie potrà avvenire tenendo conto di alcuni criteri, tra cui rientrano, a titolo esemplificativo, “la natura, gravità e durata della violazione”, “il carattere doloso o colposo della violazione”, “il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attuarne i possibili effetti negativi”.
Il Regolamento concede all’Autorità anche poteri correttivi, ovvero la facoltà di sancire, in alternativa o in aggiunta alle sanzioni amministrative, altri tipi di provvedimenti previsti dall’art. 58, par. 2 come, per citarne solo alcuni, gli avvertimenti, e gli ammonimenti o ingiunzioni ad accogliere le richieste degli interessati, ad adeguarsi alle modalità di trattamento previste dalla normativa, ad interrompere o limitare il trattamento.
All’interno del quadro sanzionatorio appena descritto, assumono molta importanza il livello e l’entità della cooperazione con le autorità di controllo. Tale comportamento collaborativo può costituire un fattore determinante nella scelta di applicare o meno una sanzione amministrativa e, eventualmente, di fissarne l’ammontare, qualora siano state, da parte di titolari o responsabili del trattamento, limitate o azzerate le ripercussioni negative sui diritti degli interessati.
Alcuni esempi di sanzioni (a livello europeo) dopo l’entrata in vigore del GDPR
Il panorama in oggetto merita di essere approfondito tramite un’analisi dei provvedimenti dei Garanti privacy europei rispetto ai casi specifici.
Nonostante il periodo di “tolleranza” concesso per consentire agli Stati Membri di adeguarsi al GDPR, nel caso dell’Italia pari ad otto mesi a partire dal 19 settembre 2018, le società che svolgono trattamenti di dati personali si sono rivelate, a seguito dei primi controlli svolti nelle diverse Nazioni, non conformi alle prescrizioni del GDPR.
Prendendo spunto dal sito GDPR Enforcement Tracker, che raggruppa l’insieme delle sanzioni fino ad ora comminate dalle diverse Autorità nazionali, facendo un’analisi d’insieme di quanto disposto dalle singole Autorità, si nota una forte prevalenza di sanzioni legate al mancato rispetto dei principi base che regolano il trattamento (artt. 5 e 6 GDPR) e all’inadeguatezza delle misure tecnico-organizzative poste in essere dai soggetti per garantire un livello di sicurezza consono rispetto al trattamento da effettuarsi (art. 32 GDPR).
In misura meno incisiva, ma piuttosto consistente, si rilevano sanzioni legate alla non conformità o non fornitura delle informative da rilasciare all’interessato (artt. 13 e 14 GDPR), per la maggior parte, oltre che all’impossibilità per lo stesso di esercitare altri dei propri diritti che rientrano all’interno del capo III del Regolamento (artt. 12, 15, 17, 21 GDPR). In ultimo luogo, nella misura in assoluto più bassa, si rilevano anche provvedimenti collegati al mancato rispetto delle procedure di notifica e comunicazione di data breach (artt. 33 e 34 GDPR) e riguardanti la designazione del responsabile della protezione dei dati (art. 37 GDPR) e del responsabile del trattamento (art. 28 GDPR).
Dall’analisi della medesima fonte risulta, altresì, che le Autorità più attive nell’erogazione di sanzioni siano in Germania e in Ungheria, seguite da quelle della Repubblica Ceca, Bulgaria, Austria e Spagna. Le restanti, invece, annoverano un minor numero di provvedimenti.
Il caso dell’Associazione Rousseau in Italia
Per citare alcuni casi concreti, in Italia il provvedimento di maggiore rilevanza risulta il n. 83 del 4 aprile 2019, che si compone della sanzione pecuniaria comminata dal Garante italiano all’Associazione Rousseau, pari a 50mila euro (prevista ai sensi dell’art. 83 par. 4 lett. a. del GDPR), alla quale è stata affiancata l’intimazione di adottare le misure di adeguamento necessarie (conformemente alle prescrizioni di cui all’art. 58 par. 2 del GDPR).
L’associazione, infatti, era stata soggetta ad un primo controllo nel 2017, a causa della segnalazione di avvenuto data breach. Successivamente, il Garante, con provvedimento del 21 dicembre 2017, aveva chiesto il riesame delle condizioni di sicurezza, unitamente alla correzione delle diverse criticità. A seguito di integrazioni documentali, pervenute rispettivamente il 23 novembre e il 10 dicembre 2018, l’Autorità ha rilevato un miglioramento nel grado di sicurezza, tuttavia, ha ritenuto persistenti importanti vulnerabilità quali: violazioni del principio di liceità dei trattamenti, violazione della riservatezza degli interessati, mancata predisposizione di misure tecnico-organizzative adeguate (in particolare in riferimento alla minimizzazione del trattamento).
La sanzione a PWC in Grecia
Uscendo, invece, dai nostri confini, un esempio interessante di sanzione è quello della condanna al pagamento della somma di 150mila euro ingiunto dall’Autorità Garante per la protezione dei dati personali greca alla società PWC per la violazione del principio di trasparenza e, quindi, mancata comunicazione agli interessati delle informazioni di cui agli artt. 13 e 14, unito ad una violazione del principio di «accountability», per non aver condotto una preventiva valutazione in ordine alle basi giuridiche necessarie per trattare i dati personali.
In conclusione, da una disamina generale dei provvedimenti adottati dall’Autorità italiana e dalle altre Autorità nazionali europee, è possibile desumere che i punti rispetto ai quali gli Stati Membri sono più vulnerabili, con riferimento all’adeguamento al GDPR, sono legati a due tematiche specifiche. La prima concerne il rispetto dei principi base che regolano il trattamento dei dati (artt. 5,6) ed in particolare di liceità, correttezza e trasparenza del trattamento. La seconda si riferisce, invece, all’adozione delle misure tecniche ed organizzative necessarie a garantire la sicurezza rispetto al rischio (art. 32). Tale ultimo punto, infatti, si configura come particolarmente delicato, poiché il Regolamento Europeo non definisce in modo tassativo quali accorgimenti adottare per evitare minacce rispetto alla sicurezza dei dati e violazioni dei diritti degli interessati, ma lascia la massima libertà al Titolare del trattamento riguardo a queste scelte. Questo fa sì che lo stesso venga “responsabilizzato” (principio di “accountability”) e che sia esposto a un maggiore rischio per non aver predisposto tutte le tutele utili.
Lo scenario delineato induce a ritenere che le società dovranno dedicare maggiore attenzione alla tematica della protezione dei dati in conformità con le disposizioni del GDPR e, in particolare, all’adozione di un maggior numero di accorgimenti per colmare i punti di vulnerabilità sopra descritti per non continuare a incorrere in sanzioni.
Who's Who
Giulia Sella Bart
Junior Legal Consultant, P4I Partners4Innovation
Who's Who
Mariaconcetta Oddo
Legal Internship, P4I Partners4Innovation