Una delle novità più significative del Regolamento 2016/679 rispetto alla precedente Direttiva è l’inasprimento delle sanzioni amministrative conseguenti alle violazioni delle disposizioni dello stesso. Facciamo quindi una panoramica sulle sanzioni del GDPR e sui mezzi di tutela.
I mezzi di tutela degli interessati
Il primo rimedio che il Regolamento prevede a tutela dell’interessato avverso una violazione perpetrata nell’ambito di un trattamento di dati è il reclamo all’Autorità di controllo. La competenza in questo caso è stabilita in base al luogo di residenza o di lavoro dell’interessato, oppure al luogo in cui si è verificata la violazione (art. 77).
Nel caso in cui l’Autorità non provveda in relazione al reclamo presentato, non fornisca informazioni sull’esito dello stesso entro tre mesi, ed in generale, avverso qualunque decisione giuridicamente vincolante di un’autorità di controllo, invece, l’interessato ha diritto a proporre un ricorso giurisdizionale “effettivo” innanzi all’autorità giurisdizionale dello Stato in cui l’Autorità di Controllo è stabilita (art. 78).
Allo stesso modo, qualora un trattamento di dati personali violi i diritti riconosciuti dal Regolamento, l’interessato può rivolgersi all’autorità giurisdizionale, agendo direttamente nei confronti del titolare o del responsabile del trattamento. In tal caso il foro alternativo è quello di stabilimento di titolare e responsabile oppure di residenza abituale dell’interessato (art. 79).
Il Regolamento prevede, inoltre, la possibilità che l’interessato si rivolga ad rappresentante per far valere i propri diritti, purchè si tratti di un’organizzazione o associazione senza scopo di lucro attiva nella protezione dei dati obiettivi con obiettivi statutari di pubblico interesse (80).
Rapporto tra autorità
Al fine di consentire il coordinamento delle azioni delle Autorità di Controllo dei diversi Stati Membri il Regolamento prevede un dovere di cooperazione in forza del quale, in pendenza di più azioni relative allo stesso titolare o responsabile, le Autorità adite prendono contatto e quella successivamente coinvolta può sospendere l’azione, oppure dichiarare la propria incompetenza su richiesta delle parti, a condizione che la prima sia competente e che sia possibile per legge una riunione dei procedimenti
Risarcimento
La violazione delle previsioni del Regolamento può causare danni materiali o immateriali. In tal caso l’interessato ha diritto al risarcimento da parte del titolare o del responsabile che lo ha cagionato, salvo che questi non dimostrino di non essere imputabili.
Qualora poi nello stesso trattamento siano coinvolti più soggetti nella stessa qualità (due o più titolari o due o più responsabili) oppure in qualità diverse (un titolare ed un responsabile), tutti risponderanno in solido del danno cagionato, salvo poi il diritto per colui che ha pagato di rivalersi sugli altri pro quota.
Le sanzioni amministrative pecuniarie del GDPR
Una delle novità più significative del Regolamento 2016/679 rispetto alla precedente Direttiva è l’inasprimento delle sanzioni amministrative conseguenti alle violazioni delle disposizioni dello stesso.
Tali sanzioni pecuniarie, insieme con le misure correttive previste dall’articolo 58, paragrafo 2 (avvertimento, ammonimento, ordine, ingiunzione etc) hanno l’obiettivo di “rafforzare il rispetto delle norme del regolamento” (vedi considerando 148), ripristinando la legalità violata e punendo gli illeciti .
Tali misure, dunque, sono applicabili in risposta a una vasta serie di violazioni e sono rivolte principalmente alle imprese titolari e responsabili dei trattamenti, anche se l’art. 83, 7 comma, prevede che uno Stato Membro può estendere l’applicazione dell’articolo 83 alle autorità e agli organismi pubblici istituiti.
Il Regolamento stabilisce che ogni caso sia valutato individualmente. In questo modo le Autorità di controllo sono spinte ad utilizzare lo strumento sanzionatorio in modo equilibrato, adottando di volta in volta le misure più appropriate, che tengano, cioè, conto di tutte le circostanze del caso concreto e che siano commisurate alla natura, alla gravità e alle conseguenze della violazione.
Al fine di creare un sistema sanzionatorio che risponda in maniera effettiva, dissuasiva e proporzionata alle violazioni, l’art. 83 prevede un meccanismo per massimali, differenziato in base alla tipologia della violazione.
In particolare, il paragrafo 4 prevede sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore, nei seguenti casi:
- a) violazione degli obblighi di cui all’art. 8 (condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione),11 (trattamento che non richiede l’identificazione), da 25 a 39 (obblighi generali del titolare e del responsabile; disposizioni in materia di sicurezza dei dati personali; regole sulla valutazione d’impatto sulla protezione dei dati e consultazione preventiva; norme sul responsabile della protezione dei dati);
- b) violazione degli obblighi sugli organismi di certificazione previsti dagli artt. 42 e 43;
- c) violazione dei codici di condotta previsti dall’art. 41.
Il paragrafo 5, invece, prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo, se superiore, per le violazioni:
- a) dei principi di base del trattamento e delle disposizioni sul consenso previste dagli artt. 5,6,7 e 9;
- b) dei diritti degli interessati previsti dagli artt. 12 a 22;
- c) degli obblighi adottati a norma del capo IX dalle legislazioni degli stati membri;
- d) dell’inosservanza di un ordine o di un’altra misura adottata da un’autorità ai sensi dell’art. 58 par. 2 .
Quanto sin qui esposto chiarisce che il Regolamento individua violazioni più o meno gravi non senza lasciare però un notevole margine di discrezionalità alle Autorità di controllo in considerazione delle circostanze del caso concreto e di tutti gli elementi indicati dalla letta a) alla lettera k) del paragrafo 2 dell’art. 83, tra i quali possono citarsi la natura, la gravità, la durata della violazione, l’atteggiamento psicologico dell’agente (dolo o colpa), il comportamento tenuto dall’agente prima e dopo la violazione, precedenti violazioni, l’adesione a codici di condotta etc.
Il considerando 148 prevede, infatti, che gli elementi summenzionati possano essere utilizzati dalle Autorità non solo per stabilire l’entità della sanzione pecuniaria ma finanche per escluderne l’applicazione (ad esempio sostituendola con una misura meno incisiva come l’ammonimento) ove la stessa rappresenti “un onere sproporzionato per una persona fisica” oppure nei casi di violazioni cd minori.
Altre sanzioni del GDPR
Al di la delle sanzioni amministrative pecuniarie gli Stati Membri stabiliscono altre tipologie di sanzioni per le violazioni del Regolamento, assistite dai meccanismi opportuni a garantirne l’applicazione.
In tal caso, però, la discrezionalità degli Stati è limitata dai principi di effettività, proporzionalità e dissuasività, oltre che da un obbligo di notifica delle suddette disposizioni nazionali alla Commissione Europea entro e non oltre il 25 maggio 2018.