Il procedimento sanzionatorio e le sanzioni privacy: a cosa si va incontro in caso di violazione della privacy?

Privacy​

Il Regolamento UE 2016/679 (GDPR) ed il d.lgs 196/2003 (Codice Privacy) sanzionano le violazioni del trattamento dei dati, ed il Regolamento n. 1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dati personali”, disciplina l’applicazione dei poteri di controllo dell’Autorità Garante e delle sanzioni previste Codice Privacy e dal GDPR.

Il GDPR, in particolare, ha reso necessaria l’adozione di un sistema di gestione e controllo dei processi e dei trattamenti dei dati personali che consenta di mantenere nel tempo la conformità alla normativa, prevedendo pesanti conseguenze in caso di violazione. L’Autorità di controllo infatti ha il potere di irrogare sanzioni di varia natura, e gli Stati dell’UE hanno facoltà di introdurre sanzioni penali per i casi più gravi di violazione della privacy.

In Italia, in caso di violazioni relative al trattamento dati è il Garante per la protezione dei dati personali (GPDP) l’Autorità competente ad adottare i provvedimenti correttivi di cui all’art. 58, par. 2 GDPR ed irrogare le sanzioni indicate nell’art. 83.

L’art. 58, par. 2, GDPR disciplina i poteri correttivi che il Garante può attivare nei confronti del contravventore, tra cui rientra anche la possibilità di rivolgere soltanto avvertimenti o ammonimenti; le sanzioni previste dalla normativa privacy invece sono di due tipi: amministrative e penali.

L’art. 83 GDPR disciplina le condizioni generali per l’applicazione delle sanzioni amministrative pecuniarie in caso di violazione della normativa sulla protezione dei dati personali.

L’applicazione di tali sanzioni viene valutata caso per caso, tenuto conto, in particolare, della natura, della gravità e della durata della violazione, oltre che dell’oggetto e della finalità del trattamento.

In base alla gravità si distingue tra:

1) Sanzioni meno gravi, applicabili in caso di inosservanza degli obblighi previsti dagli artt. 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), 25-39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO). A tali violazioni conseguono sanzioni amministrative pecuniarie fino ad € 10 mln o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4 GDPR).

2) Sanzioni più gravi, che possono arrivare sino ad € 20 mln o, se superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa (cfr. art. 83, par. 5, GDPR), sono previste invece – tra gli altri – nei casi di violazione dei principi alla base della disciplina privacy, ovvero quelli stabiliti agli artt. 5 (Principi applicabili al trattamento di dati personali), 6 (Liceità del trattamento), 7 (Condizioni per il consenso) e 9 (Trattamento di categorie particolari di dati personali).

Oltre agli illeciti amministrativi, il Codice Privacy – di concerto con il Codice Penale – prevede una serie di illeciti penali.

Non si può dimenticare, inoltre, che un errato trattamento del dato personale può causare ai terzi interessati danni patrimoniali e non patrimoniali, che, a seconda dei casi e delle responsabilità, dovranno essere risarciti dal titolare o dal responsabile del trattamento. Tra i possibili danni possono infatti configurarsi: perdite patrimoniali; danni alla reputazione; discriminazione; furto d’identità; impossibilità di esercitare diritti, servizi o opportunità; altri svantaggi economici e sociali; perdita del controllo dei dati; danni fisici o morali. Occorre aggiungere tuttavia che non vi è un automatismo tra un illegittimo trattamento e l’obbligo al risarcimento in quanto l’onere di dimostrare l’effettivo verificarsi del danno spetta all’interessato.

Come si articola il procedimento sanzionatorio?

Può prendere avvio o su istanza di parte o d’ufficio e trarre origine quindi da:

  • una segnalazione (anche anonima);
  • un reclamo (proposto dall’interessato);
  • controlli e ispezioni (anche d’ufficio) svolte dal Garante o suoi delegati (es. Guardia di Finanza).

La segnalazione: è qualsiasi richiesta, non necessariamente dell’interessato, volta a sollecitare un controllo del GPDP sul rispetto della normativa in materia di tutela dei dati personali, che non abbia i caratteri del reclamo.

Non porta necessariamente a un controllo o all’emissione di un provvedimento da parte del Garante: se anonima viene utilizzata per eseguire dei controlli solo in casi di particolare gravità.

Può essere archiviata in caso di infondatezza, di estraneità alla materia della tutela dei dati personali, qualora la questione sia stata già esaminata in precedenza dal Garante, o se è troppo generica.  

Qualora non venga archiviata il relativo esame segue la procedura dettata per i reclami.

In ogni caso, l’archiviazione della segnalazione non impedisce all’Autorità di procedere a un controllo in caso di elementi di fatto o di diritto sopravvenuti, ovvero di diversa e ulteriore valutazione.

Il reclamo: l’interessato può rivolgersi al Garante proponendo un reclamo (art. 77 GDPR e 140bis e ss. Codice Privacy); in tal caso descriverà in modo dettagliato i fatti e le circostanze che intende segnalare, le disposizioni che si presumono violate, le eventuali richieste già rivolte sulla questione al titolare/responsabile del trattamento ed il provvedimento che si chiede di applicare nei confronti di quest’ultimo per la denunciata violazione.

Ricevuto il reclamo viene aperta l’istruttoria preliminare entro 3 mesi, dandone notizia all’istante (interessato). In tale fase può essere disposta l’acquisizione di precisazioni e informazioni su fatti e circostanze oggetto del reclamo, mediante richiesta di informazioni o di esibizione di documenti, e il titolare o il responsabile possono essere invitati ad eseguire spontaneamente le misure richieste dall’istante e a comunicare la propria eventuale adesione entro il termine assegnato.

All’esito dell’istruttoria può procedersi con l’archiviazione o con l’avvio del procedimento.

Si avrà archiviazione se:

  • l’oggetto del reclamo non risulta riconducibile alla materia della tutela dei dati personali;
  • la violazione non è rilevante;
  • la richiesta risulta manifestamente infondata;
  • la questione è già stata esaminata dal Garante.

Dell’eventuale archiviazione e della relativa motivazione viene data succinta comunicazione all’stante.

Qualora invece venga avviato il procedimento, ne viene data comunicazione al titolare o al responsabile

del trattamento, ma solo se ciò non è incompatibile con la natura e la finalità del provvedimento da adottare.

Il procedimento può concludersi quindi con l’irrogazione di provvedimenti correttivi e sanzionatori: in tal caso può essere adottata un’ordinanza ingiunzione (recante la sanzione amministrativa pecuniaria quantificata nelle modalità sopra indicate).

L’interessato ha diritto di proporre un ricorso giurisdizionale contro il Garante qualora quest’ultimo non abbia trattato il reclamo o non lo abbia informato entro 3 mesi dello stato o dell’esito del reclamo proposto. Stesso diritto sussiste anche contro le decisioni assunte dal Garante su un reclamo trattato.

In ogni caso e alternativamente al reclamo, l’interessato ha il potere di agire in via giudiziaria (dinnanzi al Tribunale ordinario competente) contro il titolare o il responsabile del trattamento qualora ricorra una violazione dei diritti garantiti dalla normativa privacy (art. 79 GDPR).

Controlli e ispezioni del Garante: il GPDP può avviare d’ufficio un’istruttoria preliminare per verificare le possibili violazioni della disciplina privacy seguendo una procedura analoga a quella dei reclami e convocando il titolare o responsabile del trattamento presso l’unità organizzativa competente dell’Autorità stessa. Le attività ispettive possono essere delegate alla Guardia di Finanza o svolte in collaborazione con altri organi dello Stato.

Come si conclude il procedimento sanzionatorio?

All’accertamento delle violazioni segue l’irrogazione delle sanzioni amministrative pecuniarie o l’adozione dei provvedimenti correttivi di cui all’art. 58, par. 2 GDPR (che si elencano nei paragrafi successivi).

I provvedimenti del Garante vengono tempestivamente pubblicati sul sito internet dell’Autorità e se recano dati personali delle parti o di terzi, restano reperibili attraverso i motori di ricerca per 2 anni dalla loro adozione.

Al termine del procedimento di controllo, tuttavia, non sempre viene irrogata una sanzione pecuniaria in quanto per far ciò è prima necessario verificare la sussistenza delle condizioni previste dall’art. 83 GDPR. Per tale motivo, qualora venga rilevata una effettiva violazione privacy è ben possibile che invece della sanzione amministrativa pecuniaria venga adottato verso il titolare e/o il responsabile del trattamento, un provvedimento correttivo (art. 58, par. 2 GDPR) quale per esempio:

  • l’avvertimento sul fatto che i trattamenti in esame possano verosimilmente violare le disposizioni del GDRP;
  • l’ammonimento ove i trattamenti abbiano violato le diposizioni del GDPR;
  • ingiungere di soddisfare le richieste dell’interessato di esercizio dei suoi diritti o di conformare i trattamenti alle disposizioni di legge;
  • imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto;
  • ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento.

In conclusione, quindi, il procedimento sanzionatorio può terminare con:

  • un provvedimento di archiviazione che accoglie le difese del titolare o responsabile, con revoca del verbale di contestazione (dunque, senza irrogazione di sanzioni pecuniarie);
  • l’emissione di un’ordinanza-ingiunzione, ovverosia, un atto amministrativo dell’Autorità Garante con il quale viene applicata la sanzione pecuniaria e/o altri ordini, ingiunzioni e prescrizioni.

L’ordinanza ingiunzione viene notificata al titolare o responsabile del trattamento e pubblicata sul sito del Garante.

Entro 30 giorni dalla notifica del provvedimento, il titolare o responsabile sanzionato può:

  • conformarsi spontaneamente alle prescrizioni dell’Autorità di controllo e al pagamento della sanzione pecuniaria (è possibile chiederne la rateizzazione);
  • opporsi all’ordinanza-ingiunzione rivolgendosi all’Autorità Giudiziaria competente (ovvero al Tribunale del luogo di residenza o dove ha sede), formulando l’eventuale istanza di sospensione dell’efficacia esecutiva del provvedimento impugnato.