L’aspetto che indubbiamente tutti riterranno di conoscere meglio del Regolamento Europeo sulla privacy (GDPR – General Data Protection Regulation), è la parte sanzionatoria che occupa un posto sicuramente di rilievo.
Il “costo” di una mancata compliance normativa è infatti, nei casi più gravi, pari a 20 milioni di euro o fino al 4% del fatturato annuo mondiale.
Bisogna però chiedersi chi sono i veri destinatari di questa norma.
L’idea di prevedere sanzioni in percentuale al fatturato è nata per cercare di “intimorire” anche le grandi società o piattaforme quali, a titolo esemplificativo, Amazon, Facebook, Google e Apple e intaccare direttamente il loro business, cosa che con sanzioni fisse, seppur alte, non sarebbe stato possibile fare. Al contempo, simili sanzioni, che l’autorità di controllo può riferire al fatturato mondiale, sono pensate per responsabilizzare anche le sedi operative locali di grandi multinazionali con sede centrale al di fuori dell’Italia. Una violazione del GDPR da parte di una di queste sedi inciderà infatti, in termini di sanzioni, sul bilancio di tutta la società.
Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le condizioni generali per infliggere sanzioni amministrative pecuniarie sono disciplinate dall’art. 83 del Regolamento, il quale prevede che ogni autorità di vigilanza (in Italia il Garante della privacy) deve garantire, in ogni singolo caso, che la sanzione sia effettiva, proporzionata e dissuasiva, tenendo debito conto dei seguenti parametri:
– la natura, la gravità e la durata della violazione, anche in considerazione del numero degli interessati e dei danni da questi subiti;
– il carattere intenzionale o colposo dell’infrazione;
– le azioni intraprese dal Titolare o dal Responsabile per mitigare i danni subiti dagli interessati;
– il grado di responsabilità del Titolare o del Responsabile, anche sotto il profilo tecnico, e le misure organizzative attuate per prevenire le violazioni;
– eventuali rilevanti violazioni precedenti da parte del Titolare o del Responsabile;
– il livello di cooperazione con l’autorità di vigilanza, al fine di porre rimedio alla violazione e mitigarne i possibili effetti negativi;
– le categorie di dati personali oggetto della violazione;
– l’adesione a codici di condotta o a meccanismi di certificazione riconosciuti;
– ogni altro fattore aggravante o attenuante applicabile alle circostanze del caso;
– i benefici finanziari ottenuti, o le perdite evitate, direttamente o indirettamente, per effetto della violazione commessa.
Il Regolamento, fissando due diversi massimali per le sanzioni amministrative pecuniarie (10 e 20 milioni di euro), fornisce già un’indicazione sul fatto che la violazione di alcune disposizioni del Regolamento si può presentare più grave rispetto alla violazione di altre.
Nel caso in cui l’autorità di controllo ritenga che la violazione non crei un rischio significativo per i diritti degli interessati, la sanzione può talvolta essere sostituita da un ammonimento.
Il Regolamento in ogni caso ha introdotto un livello ben superiore di responsabilità del Titolare del trattamento rispetto alla Direttiva 95/46/CE sulla protezione dei dati.
Il suo grado di responsabilità, valutato sulla base dell’adozione di una misura correttiva appropriata, può dipendere dai seguenti aspetti:
- se sono state attuate misure tecnicheche seguono i principi della protezione dei dati fin dalla progettazione o per impostazione predefinita;
- se sono state adottate misure organizzativeche attuano i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita a tutti i livelli dell’organizzazione;
- se è stato messo in atto un livello di sicurezza adeguato;
- se le prassi/politichepertinenti in materia di protezione dei dati sono conosciute e applicate al livello adeguato di gestione dell’organizzazione.
L’Articolo 25 e l’Articolo 32 del Regolamento UE prevedono, infatti, che i titolari del trattamento tengano conto “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.
Anziché imporre un obbligo di risultato, tali disposizioni hanno introdotto obblighi di mezzi, il che significa che il Titolare del trattamento deve condurre le valutazioni necessarie e giungere alle opportune conclusioni.
Avv. Federica Spuri Nisi