• Non ci sono risultati.

CAPITOLO III. ANALISI COMPARATIVA DEL REGOLAMENTO (UE) 2016/679 IN RIFERIMENTO AL CONTESTO NORMATIVO ATTUALE IN MATERIA DI PROTEZIONE DE

DATI PERSONALI, RAPPRESENTATO DALLA DIRETTIVA 95/

8. Il sistema delle tutele e delle sanzion

Rispetto alla Direttiva madre, il nuovo Regolamento prevede un sistema sanzionatorio molto più articolato e severo che riflette lo scopo di rafforzare i diritti del soggetto protetto nel caso in cui dovesse venire a trovarsi in una situazione di violazione dei propri dati personali, che può concretizzarsi nel trattamento illegittimo degli stessi o peggio ancora in danni specifici derivanti dal trattamento.

La previsione di un sistema sanzionatorio molto articolato che prevede plurime possibilità di riconducibilità, semplifica la procedura di riconducibilità del danno specifico alle fattispecie tutelate, inoltre, data la natura del diritto protetto, l’ampliamento della tutela del singolo che ne deriva, si traduce in una maggior tutela dell’intera collettività425.

423 «This right aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control. Data portability can promote the controlled sharing of personal data between organisations and thus enrich services and customer experiences. Data portability may facilitate user mediated transmission and reuse of personal data concerning them among the independent services they are interested in»; Relativamente ai nuovi modelli di business legati alla condivisione il Working party art. 29 fornisce in nota 3 esempi concreti a livello europeo, in fase sperimentale quali MiData nel Regno Unito, MesInfos SelfData by FING in Francia. Ancora risulta interessante a titolo esemplificativo, quanto riportato in nota 4: «The so-called quantified self and IoT industries have shown the benefit (and risks) of linking personal data from different aspects of an individual’s life such as fitness, activity and calorie intake to deliver a more complete picture of an individual’s life in a single file.». WP. N. 242.

424 Questo è evidente alla luce della constatazione che secondo il diritto di portabilità dei dati, tale procedura non innesca automaticamente la cancellazione dei dati dai sistemi del titolare del trattamento e non influisce sul periodo di conservazione originale previsto per i dati che sono stati trasmessi.

425 Trattandosi di un diritto fondamentale la sua tutela va letta in funzione non solo del singolo soggetto garantendogli il rispetto del proprio diritto fondamentale alla protezione dei dati personali, ma dell’intera collettività in considerazione della natura dei rischi collettivi che la violazione di uno dei diritti fondamentali comporterebbe, primo fra tutti il rischio del

Dal punto di vista civilistico l’articolo 82 conferma la responsabilità risarcitoria per il c.d. «danno da trattamento» che viene codificato in maniera più precisa: l’articolo infatti al paragrafo 1 prescrive che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». I paragrafi successivi chiariscono i meccanismi di ripartizione della responsabilità risarcitoria tra titolare e responsabile del trattamento, in particolare il titolare risponde per il danno causato dal suo trattamento che violi il regolamento, mentre il responsabile risponde per il danno cagionato dal trattamento solo nel caso in cui non abbia adempiuto agli obblighi derivanti dal regolamento specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle istruzioni del titolare del trattamento. Entrambi - titolare e responsabile - sono esonerati dalla responsabilità, se dimostrano che l'evento dannoso non è in alcun modo imputabile a loro.

Nel caso più contitolari o corresponsabili del trattamento siano responsabili di un eventuale danno causato dal trattamento «ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno» e qualora successivamente a tale previsione, qualcuno abbia pagato l’intero risarcimento del danno, costui «ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno». Lo scopo di tale previsione è quello di garantire il risarcimento effettivo alla persona che abbia subito la violazione.

Per quanto riguarda l’applicazione delle sanzioni amministrative pecuniarie da parte delle autorità di controllo, il nuovo Regolamento specifica dettagliatamente requisiti e modalità di applicazione; esse come descritto dall’articolo 83426 devono essere «effettive, proporzionate e dissuasive»: il terzo requisito in particolare ne riflette lo scopo che non è meramente punitivo e dunque fine a se stesso, ma è anche preventivo, cioè finalizzato a dissuadere dal commetterne la violazione. Nonostante sia l’autorità di controllo a dover stabilire in ultima analisi la portata della sanzione, è interessante notare che portata massima prevista dalla stessa in termini pecuniari sia tutt’altro che irrilevante: ancora una volta si vuole porre l’accento sulla rilevanza degli interessi tutelati dalla normativa. Con riferimento alle sanzioni penali, come è noto, il diritto dell’Unione europea non può entrare nel merito in quanto la materia penale è di competenza nazionale di ogni singolo Stato membro.427

controllo globale che mette a repentaglio le società democratiche. Basti pensare al controllo posto in essere dalle multinazionali attraverso le tecniche dei big data e dell’analytics, che possono talvolta spingersi fino a manipolare le scelte delle persone, insediando in loro la convinzione che, la loro facoltà di partecipare ad ogni decisione collettiva rende fa acquistare valore alla democrazia partecipativa attraverso la rete e renda priva di senso quella rappresentativa. Op. Cit. Supra note 6 Cfr. pp.301-305.

426 L’articolo 83, dopo aver descritto dettagliatamente al paragrafo 2 gli elementi che caratterizzano le violazioni, ai paragrafi 4 e 5 prevede rispettivamente 2 sistemi sanzionatori identici per quanto riguarda le modalità e il genere di sanzioni ma diversi in relazione al loro ammontare massimo: «sanzioni amministrative pecuniarie fino a 10000,000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore», e «sanzioni amministrative pecuniarie fino a 20000,000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore». 427 Tuttavia il nuovo Regolamento prevede la competenza degli Stati membri di stabilire e notificare alla Commissione entro il 25 maggio 2018, le norme relative alle altre sanzioni per le violazioni del Regolamento con particolare riferimento alle violazioni non soggette a sanzioni amministrative pecuniarie.