L’entrata in vigore del GDPR e del D.lgs. 101/2018 ha mutato significativamente il contesto normativo sanzionatorio in tema di violazioni del trattamento dei dati personali. Per queste ragioni l’Autorità Garante, tra la fine del 2018 e il 2019, ha dovuto gestire la l’attività straordinaria derivante dal transito dalla normativa previgente a quella odierna.
Le violazioni di natura penale per il 2019, al contrario non hanno subìto alcuna modificazione di rilevo, sia per la natura degli illeciti, sia perché successive all’entrata in vigore del D.lgs. 101/2018.
Le violazioni penali segnalate all’Autorità giudiziaria
L’Autorità garante per il trattamento dei dati personali, con autonoma ispezione o su espressa segnalazione, può venire a conoscenza di fatti di reato in materia di trattamento dei dati personali.
L’autorità riferisce, nella propria relazione, di aver trasmesso nove segnalazioni all’Autorità giudiziaria nel 2019, in seguito a propria istruttoria.
Di queste, quattro riguardavano l’inosservanza di un provvedimento del Garante (art. 170 D.lgs. 196/2003, come modificato dal D.lgs. 101/2018), altrettante per falsità nelle dichiarazioni rese al Garante (art. 168 D.lgs. 196/2003, come modificato dal D.lgs. 101/2018) ed una per accesso abusivo a sistema informatico (art. 615 ter Cod. pen.).
Il lettore potrà quindi constatare da solo come, sotto il profilo dell’impulso dell’azione penale, l’attività del Garante sia improntata, per otto noni, alla segnalazione di fattispecie relative ai rapporti tra soggetto attinto da provvedimento o ispezioni e Autorità garante stessa.
Nulla si dice in ordine alla prosecuzione o agli esiti delle segnalazioni effettuate: sarebbe interessante ottenere il dato, anche se, obiettivamente, non rientrando l’attività successiva alla segnalazione all’Autorità giudiziaria nel campo di intervento dell’Authority, è comprensibile che non se ne tratti nella relazione annuale.
Sarà infine interessante verificare se, per il 2020, vi saranno o meno incrementi delle segnalazioni, sia in ragione dell’intensificarsi dell’attività online in ragione dell’epidemia da Covid-19, sia in ragione di una maggior “assimilazione” della normativa vigente da parte di tutti gli operatori.
Il diritto intertemporale e le sanzioni amministrative adottate secondo la disciplina previgente
Nel 2019 l’Autorità garante ha avviato trentadue procedimenti sanzionatori amministrativi relativi a fatti accaduti anteriormente all’entrata in vigore del GDPR: questa situazione ha posto la tematica relativa alla normativa applicabile a detti fatti e, astrattamente, può porsi ancora (nulla vieta che emergano ulteriori fattispecie verificatesi ante 25 maggio 2018).
La normativa previgente prevedeva la contestazione delle violazioni in osservanza alla l. 689/1981, per espresso rinvio del Codice privacy sul punto.
In materia di sanzioni amministrative vige il generale principio del tempus regit actum, in virtù del quale la normativa applicabile è sempre quella vigente al momento in cui viene in essere fatto che determina il provvedimento (criterio determinato anche dal principio di legalità di cui allo stesso art. 1, comma 2, l. 6789/1981, oltre che dalla Carta costituzionale e dal Codice penale).
Salvo che non vi siano norme transitorie, il procedimento sanzionatorio dovrà, quindi, seguire la procedura prevista al tempo in cui la pretesa violazione è stata commessa.
Un esempio di diritto intertemporale, o norma transitoria introdotta in tema di violazioni del trattamento dei dati personali, è costituita dall’art. 18 D.lgs. 101/2018, che prevedeva la facoltà per i trasgressori di definire ogni vertenza non definita con ordinanza ingiunzione relativa alle ipotesi di cui agli artt. 161, 162, 162 bis,162 ter,163, 164, 164 bis comma 2 nonché 33 e 162 comma 2 bis Codice privacy con il pagamento in misura ridotta pari ai due quinti del minimo edittale.
Chi non avesse inteso aderire a tale procedura di definizione agevolata, poteva presentare memorie difensive entro il 16 febbraio 2019; in caso di inerzia dei trasgressori, l’art. 18 D.lgs. 101/2018 prevede che l’atto con cui sono stati notificati gli estremi della violazione o l’atto di contestazione immediata fossero equiparati, in quanto ad effetti, all’ordinanza-ingiunzione di cui all’art. 18 l. 689/1981, senza ulteriori formalità, avvisi o notificazioni.
I provvedimenti contro Facebook Ireland, Facebook Italy e Vincall
Nella propria relazione annuale, il Garante ha ritenuto opportuno effettuare una breve case history, riportando gli interventi relativi alle violazioni più eclatanti.
La condanna di Facebook Ireland e Facebook Italy in solido da un lato e di Vincall s.r.l.s. dall’altro sono di un certo interesse.
La prima ordinanza-ingiunzione al social network (la n. 134 del 14 giugno 2019) è stata comminata in occasione dell’istruttoria sul caso Cambridge Analytica ed è stata emessa per un importo di un milione di euro.
Nello specifico, 57 utenti avevano scaricato l’app Thisisyourdigitallife attraverso la funzione di Facebook login.
L’app prevedeva la possibilità di condividere i dati degli “amici” di Facebook: in tal modo sono stati acquisiti i dati di 214.077 utenti del tutto ignari di un tanto e senza che l’app fosse stata, da questi, scaricata.
Evidenti, quindi, le violazioni in tema di informativa e consenso e del pari lampante il fatto che sia stata contestata l’ipotesi con riferimento ad una banca dati di rilevanti dimensioni.
L’ordinanza-ingiunzione n. 95 del giorno 11 aprile 2019 riguarda, invece, una società di telemarketing e teleselling, sanzionata per due milioni di euro.
Una società italiana aveva utilizzato un call center in Albania per contattare potenziali clienti per una società operante nel settore dell’energia senza che la lista dei prospect fosse stata fornita o validata dal titolare e senza previa acquisizione del consenso degli interessati.
La sanzione ha tenuto conto sia del numero dei contatti sia dell’assoluta indifferenza nell’applicazione delle corrette procedure in tal senso.
I provvedimenti contro un Ente pubblico e contro un medico
Il terzo caso riportato dall’Autorità garante attiene alla violazione commessa da un Ente pubblico, sanzionato per diecimila euro.
Con l’ordinanza-ingiunzione n. 56 del 16 marzo 2019 il Garante ha sanzionato la comunicazione a terzi di informazioni attinenti ad un procedimento penale in corso a carico di un soggetto spedizioniere.
La violazione deriva dal fatto che nessuna normativa, nazionale o europea, consente la divulgazione a terzi di tali dati per le finalità per cui il trattamento è stato effettuato.
Da ultimo il Garante ha sanzionato, con ordinanza-ingiunzione n. 49 del 14 febbraio 2019, un medico che aveva inviato ai propri ex pazienti lettere a sostegno di un candidato alle elezioni politiche regionali.
La sanzione, di sedicimila euro, è stata comminata sia per la mancanza di espresso consenso degli interessati, sia per difetto di informativa resa presso la struttura sanitaria in cui operava il medico.