Privacy: responsabilità amministrative, civili e penali


Quando si parla di privacy è opportuno conoscere bene le conseguenze a cui si va incontro se si commettono delle violazioni della privacy. Con l’entrata in vigore del nuovo Regolamento Eu 2016/679 ed il successivo decreto legislativo di armonizzazione 101/2018 è stata infatti riformata la disciplina ed inasprite le sanzioni amministrative, civili e penali. Non solo, anche il cosiddetto periodo di tolleranza è giunto al termine. Dal 20 maggio 2019, infatti, le inadempienze al nuovo regolamento previsto dall’articolo 22 del Decreto legislativo del 10 agosto 2018 sono punite con le sanzioni previste dal GDPR, senza più sconti.

Cosa rischia oggi chi viola il Regolamento o il codice privacy?

A seconda del tipo di violazione commessa, possono essere previste sanzioni amministrative e pecuniarie, risarcimento del danno o la reclusione.

Indice:

le responsabilità civili (a chi spetta l’onere della prova?)

le sanzioni amministrative

le responsabilità penali (quali sono e i casi di depenalizzazione)

le sanzioni penali

 

Le responsabilità civili

Il trattamento dei dati personali è un’attività che espone il responsabile del trattamento ed il titolare del trattamento ad un rischio. Il possibile danno è bilanciato da un insieme di norme idonee a tutelare il patrimonio giuridico dell’interessato.  E’ riconosciuta la possibilità agli interessati di fare ricorso nei confronti del titolare del trattamento o del responsabile che abbia causato il danno, al fine di ottenere un risarcimento. La responsabilità si riconosce ad esempio: quando ha cagionato un danno fisico, materiale o immateriale; ha comportato discriminazioni, furto o usurpazione di identità; ha arrecato un pregiudizio alla reputazione; ha generato perdita di riservatezza dei dati personali protetti da segreto professionale o ha rivelato dati sensibili.

  • A chi spetta l’onere della prova?

Da questo punto di vista esiste l’inversione dell’onere probatorio, ovvero spetta al titolare o responsabile del trattamento dei dati dimostrare che l’evento dannoso non è imputabile alla sua persona o di aver adottato tutte le misure idonee per evitare il danno. Molto dipende dal tipo di attività svolta, infatti, la normativa prevede che coloro che trattano dati personali siano maggiormente responsabilizzati e utilizzino maggiore cautela rispetto ad una attività non rischiosa.

Le sanzioni amministrative

privacy sanzioni amministrative Labor Project

 

La legge prevede due categorie di sanzioni amministrative, a seconda della gravità:

  • Violazioni fino a 10 milioni di euro

    • Nella prima categoria rientrano le cosiddette violazioni di minore entità per le quali sono previste sanzioni pecuniarie di importi fino a 10 milioni di euro e, per le imprese, sanzioni amministrative fino al 2 per cento del fatturato mondiale totale annuo dell’esercizio precedente e nello specifico riguardano le seguenti violazioni del titolare e del responsabile del trattamento dei dati,
      • mancata valutazione d’impatto DPIA
      • omessa consultazione preventiva dell’autorità di controllo
      • violazione dell’obbligo di tenuta dei registri dei trattamenti
      • omessa notifica Data Breach
    • violazione degli obblighi dell’organismo di certificazione e di controllo
  • Violazioni fino a 20 milioni di euro:

    • Nella seconda categoria rientrano sanzioni più pesanti in relazione a fatti di maggiore gravità che ammontano fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo relativo all’esercizio precedente. Le violazioni riguardano ad esempio:
      • i principi di base del trattamento dei dati, comprese le condizioni relative al consenso
      • i diritti dei soggetti interessati
      • il trasferimento dei dati personali ad un soggetto o ad un’organizzazione che risiede in un paese terzo
      • l’inosservanza di un ordine emanato dal Garante della privacy per la protezione dei dati personali
      • la mancata attuazione delle disposizioni relative a specifiche situazioni di trattamento dei dati
      • le procedure di accesso fisico e logico ai dati genetici, biomedici o relativi alla salute
      • i trattamenti di dati relativi a condanne penali e reati
      • i diritti delle persone decedute
      • la diffusione di provvedimenti giudiziari contenenti dati personali
      • il  trattamento dei dati sanitari, a fini statistici e di ricerca scientifica
      • i  servizi di comunicazione elettronica
      • le misure di garanzia
      • le regole deontologiche

E’ esclusa l’applicabilità delle suddette norme ai trattamenti in ambito giudiziario.

  • A chi spetta il compito di applicare le sanzioni amministrative?

Il Garante della privacy è l’organo preposto e dovrà avere cura di valutare caso per caso le violazioni affinché le sanzioni siano effettive, proporzionate, dissuasive e tengano conto delle circostanze, ovvero della natura, della gravità e della durata della violazione.

In alternativa a queste, o in aggiunta, il Garante della privacy potrà comminare altre sanzioni.

 

Le responsabilità penali

privacy, sanzioni, penale, Labor Project

 

In tema di sanzioni penali, il GDPR lascia libertà agli Stati di stabilire disposizioni relative a sanzioni penali entro i limiti del Regolamento. Gli ambiti in cui sono applicabili le sanzioni penali possono essere molteplici, tra i più frequenti troviamo:

  • La comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
  • L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
  • La falsità nelle dichiarazioni al Garante.
  • Inosservanza dei provvedimenti del Garante.

E’ importante sottolineare che il legislatore ha ritenuto opportuno estendere l’applicabilità delle sanzioni penali non solo nei casi di dolo dell’agente impegnato a realizzare il profitto, ma anche nei casi in cui l’agente abbia agito allo scopo di arrecare un danno ad altri.

 

  • Chi risponde delle violazioni penali?

Rispondono delle violazioni sia il titolare che il responsabile del trattamento dei dati. La legge 689/1981 prevede che la notifica del verbale venga effettuata al contravventore e al responsabile in solido, in tal caso avviene spesso una contestazione sia al titolare, quanto al responsabile purché risulti un formale atto di designazione e risultino inadempienze imputabili alla sua persona. Secondo il regolamento (art 146) il titolare e il responsabile del trattamento dei dati devono risarcire i danni cagionati a una persona per il trattamento non conforme al GDPR a meno che non riescano a dimostrare che l’evento dannoso non è in alcun modo a loro imputabile. Il riferimento congiunto serve ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi l’effettivo risarcimento per il danno subito.

 

 

Le sanzioni penali

Secondo il decreto le sanzioni previste sono:

  • Per trattamento illecito di dati personali, dati sensibili e dati personali verso un Paese terzo o una organizzazione internazionale fino a tre anni.
  • Sei anni nel caso di comunicazione e diffusione illecita di dati personali trattati su larga scala
  • Fino a quattro anni di reclusione per acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.
  • Per falsità nelle dichiarazioni rese al Garante della Privacy fino a tre anni.
  • Fino a due anni per l’inosservanza dei provvedimenti del Garante
  • Un anno per violazioni delle disposizioni in materia di controlli a distanza ed indagini sulle opinioni dei lavoratori.

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia