Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.
Quale sistema sanzionatorio è previsto dal Regolamento?
Il Regolamento detta norme specifiche sia sotto il profilo della responsabilità civile, sia sotto il profilo della responsabilità amministrativa. Sono quindi previste regole sia per dirimere il caso in cui un soggetto sia danneggiato dal trattamento effettuato sui suoi dati personali (si pensi alla diffusione illecita di dati personali aventi natura sanitaria), sia per determinare le conseguenze del mancato adempimento da parte del titolare degli obblighi previsti dal Regolamento. Ciò significa che un titolare del trattamento dei dati personali potrà essere chiamato a rispondere sia nei confronti di un privato che ritiene di avere subito un danno per l’illecito trattamento posto in essere, sia nei confronti dell’Autorità garante, che potrà comminare una sanzione amministrativa in caso di violazione delle disposizioni del Regolamento.
Sono previste sanzioni penali?
Il Regolamento non disciplina direttamente il tema della responsabilità penale. Tuttavia, prevede la possibilità per gli Stati membri di introdurre anche sanzioni penali negli ordinamenti nazionali. La delega, però, ha rilevantissimi limiti. Ai sensi del considerando n. 149 del Regolamento il legislatore può introdurre sanzioni penali per le violazioni non soggette a sanzioni amministrative e purché la tutela penale non costituisca una duplicazione della pena in contrasto con il principio del ne bis in idem, caro alla Corte di giustizia europea.
Qual è il tetto massimo previsto per le sanzioni amministrative?
Il Regolamento prevede un tetto massimo assai elevato per le violazioni in materia di protezione dei dati personali. Ad esempio, la sanzione amministrativa potrà arrivare fino a 10 milioni di euro o, se la cifra è superiore, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se non è effettuata la notifica dell’avvenuta violazione dei dati personali o qualora non sia designato il Data Protection Officer. La sanzione potrà anche arrivare a 20 milioni di euro o, se la cifra è superiore, fino al 4% del fatturato mondiale annuo dell’esercizio precedente per le violazioni più gravi. A titolo esemplificativo, è prevista la sanzione con un massimo più elevato per l’inosservanza degli ordini impartiti dall’Autorità garante o per l’illegittimo trasferimento di dati personali in un Paese extraeuropeo.
Quali sono i criteri utilizzati nell’irrogare una sanzione?
Nonostante i tetti massimi previsti per le sanzioni pecuniarie siano assai elevati, occorre precisare che la sanzione amministrativa comminata in concreto dovrà in ogni caso essere proporzionata alla violazione rilevata. In altre parole, nell’irrogare la sanzione amministrativa, l’Autorità garante dovrà necessariamente tenere in conto alcuni indicatori. Ad esempio, dovranno essere considerate la gravità e la durata della violazione, il carattere intenzionale della condotta e gli eventuali benefici finanziari conseguiti a seguito della violazione. Dovranno poi essere tenute in considerazione le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento nonché il grado di cooperazione istaura con l’autorità di controllo al fine di porre rimedio alla violazione e di attenuarne i possibili effetti negativi
Cosa è previsto in materia di responsabilità civile?
Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di domandare il risarcimento del danno al titolare o al responsabile del trattamento. Tuttavia, il responsabile del trattamento non risponde in ogni caso del danno provocato, ma solo se non ha adempiuto agli obblighi a questi specificatamente diretti dal Regolamento o se ha agito in modo difforme rispetto alle istruzioni impartite dal titolare del trattamento. Qualora più soggetti siano responsabili dell’eventuale danno causato dal trattamento dei dati personali, ognuno di questi sarà tenuto a corrispondere l’intero risarcimento al danneggiato, salvo il diritto a rivalersi sugli altri danneggianti in un secondo momento.
Quali sono i rimedi posti a disposizione dell’interessato?
L’interessato che ritenga che il trattamento che riguarda i suoi dati personali violi il Regolamento può proporre reclamo all’Autorità garante. In particolare, l’interessato potrà rivolgersi sia all’Autorità garante dello Stato membro in cui risiede, sia all’Autorità garante del luogo dove si è verificata la violazione. Così, ad esempio, l’interessato che risiede in Italia potrà proporre reclamo al Garante italiano o potrà rivolgersi all’Autorità garante dello Stato in cui ha subito la violazione. Il provvedimento emesso dall’Autorità garante potrà essere oggetto di ricorso. Le parti coinvolte dalla decisione potranno infatti proporre ricorso contro la decisione dell’Autorità garante dinanzi alle autorità giurisdizionali dello Stato membro in cui è stabilito il Garante che ha emesso la decisione.
Inoltre, la persona fisica che ritiene che un titolare o un responsabile abbia violato i suoi diritti può promuovere un’azione anche direttamente dinanzi all’Autorità giurisdizionale. L’interessato potrà intraprendere l’azione nello Stato membro in cui il titolare o il responsabile hanno uno stabilimento o, alternativamente, nel luogo in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di un altro Stato membro nell’esercizio dei pubblici poteri.
Con quali modalità può agire l’interessato?
L’interessato può agire per la tutela dei suoi diritti in modo autonomo o può scegliere di farsi rappresentare da un’organizzazione o da un’associazione in giudizio. L’associazione o l’organizzazione dovrà però avere “obiettivi statutari” di pubblico interesse e dovrà risultare attiva nel settore protezione dei dati personali.
Aggiungi commento