Sanzioni eccessivamente punitive, infatti, arriverebbero a pregiudicare l’applicazione del Regolamento 2016:679 instillando un clima ingiustificato di paura in titolari e responsabili che verrebbero frenati nel realizzare operazioni di trattamento dei dati personali per paura commettere un illecito amministrativo nell'ambito della Privacy.

Le prime sanzioni ammistrative

Dall’analisi delle sanzioni amministrative il GDPR emerge con chiarezza l’approccio scelto dai Garanti privacy in Europa: non vogliono punire eccessivamente i titolari, perché lo scopo è garantire un’applicazione graduale e progressiva del Regolamento europeo e di guidare le aziende in questo senso.

Entriamo nel dettaglio per una migliore comprensione.

Le sanzioni nel regolamento

Da una prima lettura dell’art. 83 GDPR emerge come una sanzione pecuniaria possa ammontare fino a dieci milioni di euro o, per le imprese, al 2% del fatturato annuo mondiale dell’esercizio precedente.

Nelle ipotesi più gravi tuttavia, ad esempio nel caso di inosservanza dei principi base del trattamento, dei diritti degli interessati, delle disposizioni in tema trasferimento dei dati personali in Paesi terzi o verso organizzazioni internazionali, di un ordine correttivo dell’autorità di controllo, di una limitazione provvisoria o definitiva delle attività di trattamento o, da ultimo, di un ordine di sospensione dei flussi da parte dell’Autorità di controllo, la sanzione amministrativa può anche raggiungere il doppio dei predetti importi.

La paura di un’applicazione eccessivamente punitiva delle sanzioni da parte delle Autorità garanti è, tuttavia, accompagnata da una cattiva interpretazione del GDPR, delle posizioni prese dall’ex Working Party art. 29 (ora EDPB) e dello stesso dato letterale dell’art. 83, il quale stabilisce che le sanzioni debbano essere in ogni caso effettive, proporzionate e dissuasive, tenuto conto di parametri obiettivi, inerenti generalmente alla gravità dell’illecito accertato e sanzionato, nonché soggettivi, riguardanti le caratteristiche personali del soggetto che ha realizzato il fatto accertato.

In tal senso, è da osservare come il Considerando 148 accordi alle diverse Autorità garanti il potere discrezionale di sostituire la sanzione pecuniaria con un ammonimento “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica”.

Già da un esame superficiale della normativa emerge come venga incoraggiato un ricorso allo strumento sanzionatorio “ponderato” ed “equilibrato” che tenga conto della natura, della gravità e della durata della violazione, così come di altri elementi quali il carattere doloso della violazione, le misure adottate per attenuare il danno subito, il grado di responsabilità o eventuali precedenti violazioni pertinenti, la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, il rispetto dei provvedimenti disposti nei confronti del titolare o del responsabile del trattamento, l’adesione a un codice di condotta ed eventuali altri fattori aggravanti o attenuanti.

I poteri correttivi accordati alle Autorità

A maggiore conferma del fatto che le sanzioni non dovrebbero avere carattere vessatorio, il GDPR accorda alle Autorità di controllo numerosi poteri correttivi e monitori, come quelli di:

• rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti realizzati possano violare o avere violato il GDPR;
• ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
• ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
• infliggere una sanzione amministrativa pecuniaria in aggiunta alle misure correttive.

Emerge, pertanto, come i poteri dell’autorità di controllo siano di natura variegata e come spesso la sanzione, e più in generale i poteri delle Autorità di controllo, abbiano una funzione molto sottovalutata tra gli interpreti, ossia quella di guidare titolari e responsabili di trattamento, in un’ottica general e special preventiva, verso una corretta applicazione della normativa.

Le linee guida del WP29 e la posizione del Garante italiano

Sul tema inoltre, il Comitato europeo per la protezione dei dati ha pubblicato a ottobre 2017 le Linee Guida in materia di sanzioni amministrative previste dal Reg. 2016/679/EU che forniscono imprescindibili coordinate interpretative ad Autorità di controllo ed interpreti per fare chiarezza sull’applicazione delle sanzioni.

Il caso Knuddels.de – esempio di applicazione delle sanzioni nell’ambito Privacy.

In data 22 novembre 2018 il Garante per la protezione dei dati personali dello Stato di Baden–Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) condannava il sito di chat online Knuddels.de (“Coccole”) – il quale ha vissuto il suo picco di popolarità negli anni 2000, prima dell’arrivo di Facebook – al pagamento di una sanzione di ventimila euro.

Nel caso concreto veniva contestata una violazione dell’art. 32 del GDPR posto che, per mancanza di misure adeguate di sicurezza, il sito subiva un leak di quasi due milioni di username/password e di più di ottocentomila e–mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati.

In sede di applicazione della sanzione, si è tenuto in debito conto della mancanza di misure di sicurezza adeguate alla protezione dei dati, posto che i dati degli utenti (circa 330mila quelli interessati), erano conservati in chiaro e venivano diffusi dagli hackers responsabili dell’attacco sui siti di file hosting/sharing “Mega” e “Pastebin”.

Tuttavia, non appena accertata la violazione, Knuddels ha prontamente informato i suoi utenti e il LFDI dell’accaduto e ha implementato la sua infrastruttura IT per innalzare il livello di sicurezza.

Il Garante tedesco, nel determinare l’ammontare della sanzione, ha valutato molto favorevolmente il comportamento collaborativo di Knuddels, temperando i rigori sanzionatori che la gravità oggettiva della sanzione avrebbe giustificato nel caso concreto.

Si riporta testualmente quanto contenuto nella decisione del Garante tedesco, il quale ha stabilito che: “chi impara dai danni e collabora con trasparenza al miglioramento della protezione dei dati può uscire rafforzato da un attacco di hacker” .

Un’applicazione ragionevole e ponderata del potere sanzionatorio

Dal caso analizzato sopracitato si può ben comprendere come le Autorità di un’altra nazione è intervenuta per garantire il rispetto del GDPR senza punire eccessivamente il titolare sanzionato nell’ottica di garantire un’applicazione graduale e progressiva del Regolamento europeo e di guidare, in un’ottica special preventiva, titolari e responsabili verso una corretta applicazione del GDPR.

Sanzioni eccessivamente punitive, infatti, arriverebbero a pregiudicare l’applicazione del Regolamento stesso instillando un clima ingiustificato di paura in titolari e responsabili che verrebbero frenati nel realizzare operazioni di trattamento dei dati personali per paura di incidere in una sanzione.

Ne conseguirebbe che loro attività di impresa potrebbe venirne pregiudicata e, anziché adottare strategie espansive basate su un corretto trattamento dei dati personali dei propri clienti nel rispetto dei limiti dettati dalla Legge nazionale ed europea, sarebbero frenati nelle loro possibilità di crescita ed espansione.

In secondo luogo, i titolari ed ogni altro soggetto che tratta dati personali, da un lato, arriverebbero ad occultare ogni violazione e trattamento illecito rendendone più difficile l’accertamento e, dall’altro, per non incorrere in sanzione sarebbero scoraggiati dal notificare all’Autorità di Controllo le eventuali violazioni subite, anche dove le stesse ponessero rischi per gli interessati.

In questo senso, verrebbe pregiudicato il principio di leale cooperazione fra titolari ed Autorità Garanti, finalizzato a garantire il principio di legalità delle operazioni di trattamento ed il rispetto dei diritti fondamentali degli interessati.

Da queste considerazioni, consegue che il GDPR dovrebbe essere applicato con coscienza e responsabilità da parte dei titolari e responsabili tenuti a realizzare gli adempimenti, delle Autorità Garanti che vigilano sul rispetto della norma e ne assicurano una corretta applicazione e anche delle Autorità giudicanti che sono tenute a giudicare sulla legalità dell’operato delle Autorità di controllo e sul rispetto dei diritti fondamentali delle persone fisiche coinvolte nelle attività di trattamento.

L’approccio fino ad ora tenuto dalle diverse autorità di controllo è stato ragionevole e ponderato sulla base delle risultanze del caso concreto ed ha tenuto conto delle caratteristiche obiettive dell’illecito accertato e soggettive dei soggetti sanzionati ed è auspicabile che le stesse, a fianco dell’indispensabile opera di controllo sull’applicazione del GDPR, affianchino un’attività di sensibilizzazione sulla materia.



Hai bisogno di una documentazione Privacy di facile comprensione e senza rischio di incidere negli illeciti amministrativi?

Il nostro team di Consulenti privacy ti offre non solo la documentazione più completa, ma anche una conoscenza applicata della materia. Ti aspettiamo!