Il decreto di armonizzazione del Codice Privacy (d.lgs. 196/2003) e delle altre leggi nazionali al Regolamento europeo 679/2016 sulla protezione dei dati personali, adottato l’8 agosto scorso, è stato pubblicato in G.U., con il numero 101/2018 e qui uno degli aspetti più rilevanti è senz’altro quello del sistema sanzionatorio, non solo per l’evidente centralità che lo stesso riveste nel quadro della nuova normativa europea sulla protezione dei dati, ma anche perché il sistema di rinvii alle diverse disposizioni normative in esso contenute (ivi incluse quelle del d.lgs. 196/2003 che il legislatore ha scelto di non abrogare) comporta non poche difficoltà interpretative.

In base al principio della responsabilità oggettiva per il trattamento dei dati, chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai  sensi dell’art. 2050 c.c. (responsabilità derivante dall’esercizio di attività pericolose) se non prova di aver adottato tutte le misure tecniche ed organizzative idonee ad evitare il danno.  Per non incorrere in tale responsabilità ma anche per poter espletare l'onere della prova, è fondamentale tanto per i responsabili quanto per gli incaricati di trattamento osservare meticolasamente e con correttezza  le indicazioni e le istruzioni individuate dal Titolare in attuazione della normativa in materia di protezione dei dati personali.  Si tenga comunque nella debita considerazione che  la violazione di quanto normato e disciplinato  dal Titolare costituisce violazione dei doveri d’ufficio ed implica,  sanzioni disciplinari.  Alcune segnalazioni: 

  • la omessa o inidonea informativa all’interessato, la cessione di dati al di fuori dei casi consentiti,
  • la violazione delle disposizioni in tema di comunicazione di dati personali idonei a rivelare lo  stato di salute o la vita sessuale nonché l’omessa informazione o esibizione di documenti al Garante comportano l’applicabilità di una sanzione amministrativa; 
  • il trattamento illecito di dati, la falsa notifica o false informazioni al Garante, l’omessa adozione delle misure di sicurezza e l’inosservanza dei provvedimenti del Garante costituiscono per il trasgressore illecito penale; 
  • come pena accessoria è sempre prevista la pubblicazione della sentenza di condanna.

Il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali.

In particolare, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative: nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di  importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti:

  • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
  • l’organismo di certificazione, Accredia;
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR);

Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.