Una nota particolarmente dolente della riforma, nella prospettiva delle imprese, è costituita dall’apparato sanzionatorio.
Il regolamento (UE) 2016/679, a differenza della direttiva 95/46/CE, disciplina diffusamente i poteri delle autorità di controllo, ampliandone significativamente la portata.
Una novità rilevante attiene al fatto che il regolamento provvede direttamente ad attribuire alle autorità di supervisione il potere di imporre sanzioni amministrative pecuniarie.
Mentre in passato la disciplina di questo profilo era rimessa alle legislazioni nazionali, con la conseguenza che i parametri di riferimento potevano variare da uno Stato membro all'altro, la riforma invece si premura di dettare il range delle sanzioni amministrative, che potranno essere irrogate.
Le singole autorità nazionali tuttavia conservano il potere di graduare discrezionalmente tali sanzioni in base alle circostanze del caso concreto322, ma dovranno attenersi alle soglie fissate nel regolamento, che risultano sensibilmente elevate.
322
A tal proposito l’art. 83, par. 2 prevede che:<<[…] Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
170
L'articolo 83 distingue tra varie ipotesi di violazione delle disposizioni del regolamento, dando vita a un sistema sanzionatorio articolato su più livelli.
In particolare, nel caso di inosservanza delle norme fondamentali della disciplina (che riguardano i principi di base della protezione dei dati personali, le condizioni di legittimità del trattamento, i diritti degli interessati, i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale) e nell’ipotesi di inottemperanza agli ordini delle autorità di controllo, il tetto massimo è stabilito in misura pari a 20.000.000 di Euro o al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, per quanto riguarda le imprese.
Viceversa, la violazione degli obblighi323 che incombono sul titolare e sul responsabile del trattamento comporta sanzioni, che possono arrivare fino a 10.000.000 di Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione>>.
323
Vengono richiamati, inter alia, l’art. 8, che richiede il consenso dei genitori ai fini del trattamento di dati relativi a minori e le norme che riguardano la valutazione d’impatto, la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, la notificazione delle violazioni della sicurezza dei dati e la figura del responsabile della protezione dei dati.
171
Si tratta di cifre che denotano un notevole inasprimento rispetto alle prassi sviluppatesi nei singoli Stati membri324. Non stupisce, pertanto, che queste previsioni abbiano attirato gli strali degli esponenti del mondo delle imprese.
Nel complesso pare che il legislatore, oltre a perseguire, anche su tale terreno, una finalità di armonizzazione, voglia instillare la percezione di un maggiore rigore e incentivare gli operatori ad ottemperare alla normativa, facendo leva sull'effetto deterrente delle sanzioni.
La minaccia di multe salate dovrebbe indurre le imprese a preferire costi certi e contenuti nell'immediato e predisporre tutti gli elementi atti a rendere operativo un “programma di conformità alla protezione dei dati personali”, piuttosto che esporsi al rischio di esborsi futuri di notevole entità, laddove le autorità di controllo riscontrino casi di inosservanza della normativa.
Nel complesso, questi strumenti sanzionatori conferiranno maggiore efficacia e incisività all’azione delle autorità di supervisione nella repressione delle violazioni della disciplina in materia di protezione dei dati personali.
Indubbiamente l’art. 83 è destinato a esplicare un effetto armonizzatore e a produrre maggiore coerenza nell’irrogazione delle sanzioni all’interno dell’Unione325. Tuttavia, sia il Garante
324
Finora raramente le autorità di controllo hanno imposto sanzioni di ammontare superiore alle migliaia di Euro. In uno dei casi più eclatanti, che ha avuto grande risonanza mediatica, il Garante italiano ha inflitto a Google una sanzione di 1 milione di Euro. V. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI,
Comunicato stampa: Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View, 3.4.2014, consultabile all’indirizzo:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb- display/docweb/3033237.
Considerato che il fatturato consolidato della società nel 2012 era superiore ai 50 miliardi di dollari, è evidente che la cifra corrisposta da Google al Garante italiano è meramente “simbolica” rispetto alle sanzioni che potranno essere comminate sotto la vigenza del nuovo regolamento.
325
Come riconosciuto in GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Parere 01/2012 sulle proposte di riforma in materia di
172
Europeo326, sia il Gruppo di lavoro Articolo 29327 hanno evidenziato la necessità di introdurre regole di coordinamento volte a evitare che, nel caso in cui più autorità di controllo risultino competenti, ciascuna proceda autonomamente a irrogare le sanzioni nei confronti del titolare o del responsabile del trattamento in ordine al medesimo fatto. Il cumulo di plurime sanzioni rischierebbe di creare una situazione incompatibile con il principio del ne bis in idem.
Il testo finale del regolamento sembra tenere in parte conto di questo timore, laddove nell’art. 83, par. 3 precisa che <<Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non [può] supera[re] l'importo specificato per la violazione più grave>>.
326
EUROPEAN DATA PROTECTION SUPERVISOR, Opinion of the European
Data Protection Supervisor on the data protection reform package (7.3.2012), p.
45.
327
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI,
Parere 01/2012 sulle proposte di riforma in materia di protezione dei dati, cit., p.
173