Nel GDPR, tema particolarmente interessante è quello relativo alla definizione dei poteri conferiti alle autorità di controllo – Garante Privacy – incaricate di “sorvegliare” (e non solo) la corretta applicazione del Regolamento al fine di tutelare “ i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione” [1].
Ed è tema destinato ad avere grande rilievo nel tempo, dato l’impatto sulle attività di adeguamento poste in essere dal titolare e/o dal responsabile del trattamento.
L’ambito dei potere delle autorità sul GDPR
Si tratta, in particolare, della definizione dell’ambito dei poteri conferiti alle autorità e che si sostanziano in un costante controllo sull’operato e sulle attività poste in essere dal titolare e/o dal responsabile del trattamento. Detto controllo non si esaurisce in una mera verifica delle attività, né tantomeno è circoscrivibile in azioni poste in essere in un arco temporale definito, operando, l’autorità, in un ininterrotto e continuo rapporto di affiancamento, controllo e scambio di informazioni senza soluzione di continuità.
I compiti delle autorità, sul proprio territorio, sono indicati dall’art. 57 del Regolamento e prevedono attività estremamente ramificate e diversificate che pongono, in una fase iniziale, l’autorità fianco a financo con i titolari del trattamento e dei responsabili, come quando, ad esempio, promuove la consapevolezza riguardo agli obblighi imposti dal Regolamento, o quando incoraggia l’elaborazione di codici di condotta ai sensi dell’art. 40, paragrafo 1, o l’istituzione di meccanismi di certificazione della protezione dei dati, a norma dell’art. 42, paragrafo 1. Nel supporto e monitoraggio dell’operato del titolare/responsabile del trattamento, la sua costante e continua presenza di affiancamento si sostanzia anche nella predisposizione di indagini o, ad esempio, nella tenuta di un registro interno delle violazioni[2], in un’ottica che non è più di mera collaborazione e supporto su di un livello paritario, ma che diviene di controllo dell’operato e di intervento sullo stesso, affermando la propria preminenza rispetto alla parte interessata dall’accertamento e facendo valere il proprio ruolo di indipendente autorità di controllo.
Restando, quindi, nell’ambito del rapporto tra autorità e titolare/responsabile del trattamento, nel caso in cui da questa operatività e dall’esercizio dei predetti compiti, dovesse emergere la necessità di ulteriori approfondimenti, ossia nel caso in cui dovesse essere riscontrato un operato non conforme al Regolamento, all’autorità di controllo sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, nonché il potere di infliggere sanzioni amministrative pecuniarie.
Di detti poteri si occupa l’art. 58 del Regolamento fornendo una elencazione degli stessi e ripartendoli in:
° poteri di indagine (art. 58, co.1);
° poteri correttivi (art. 58, co.2);
° poteri autorizzativi e consultivi (art. 58, co.3).
Ad introdurre la facoltà di infliggere sanzioni amministrative pecuniarie con il GDPR è, invece, l’art. 83, con l’elaborazione di un sistema alquanto rilevante che colpisce, ovviamente, le aziende sotto l’aspetto economico, prevedendo un sostanziale inasprimento delle sanzioni rispetto a quanto disposto dalla precedente ed ancora vigente disciplina, introducendo sanzioni amministrative che possono giungere, in determinati casi, fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente.
La misura della sanzione rende palese, sin da subito, l’importanza non solo delle conseguenze, ma anche del valore che si intende conferire alla nuova disciplina, vieppiù in termini di “rottura” rispetto alle disposizioni previgenti.
L’intento è, sostanzialmente, quello di imprimere un cambiamento e di intervenire con autorevolezza nel settore del corretto uso e trattamento dei dati personali, stante i contorni ancora sfumati della materia e tenuto conto del fatto che, per molti, rappresenta tuttora un argomento di difficile interpretazione, soprattutto relativamente al grande capitale, in termini di informazioni, presente nel trattamento dei dati personali. E questo vale, non tanto per le aziende, che di quel patrimonio si servono e pertanto ne fruiscono in termini di vantaggi, ma soprattutto per le persone fisiche che ancora non percepiscono appieno la protezione del trattamento dei dati come un diritto fondamentale. Di quanto, invece, lo stesso sia nel contempo delicato e rilevante bisogna prendere coscienza.
È certamente un potere enorme avere a disposizione i dati personali, soprattutto su larga scala, e lo si percepisce dall’utilizzo che negli ultimi anni si è fatto degli stessi per le finalità più disparate, ed è altrettanto indispensabile, quindi, che i singoli individui inizino a prendere coscienza e consapevolezza del valore dei propri dati, dell’uso che degli stessi viene e verrà sempre più fatto, nonché del potere della quantità e qualità di informazioni ricavabili dagli stessi.
Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere
Poteri di indagine, correttivi ed autorizzativi o consultivi
Per quanto concerne i criteri cui si è ispirato il legislatore europeo per la definizione dei poteri riconosciuti alle autorità di controllo, essi sono strutturati in maniera graduale, prevedendo ad ogni singolo passaggio una crescente autorevolezza dell’autorità, secondo quanto già si è fatto cenno prima, rappresentando come il rapporto autorità/titolare del trattamento da “simil-paritario” (rectius di supporto) in una fase iniziale, accentuasse poi sempre più il ruolo e la presenza di forme di controllo sul titolare del trattamento con interventi via via più autoritari.
In questa scala di graduazione degli interventi, i primi poteri riconosciuti ad ogni autorità di controllo sono di indagine.
Nell’esecuzione dei suoi compiti l’autorità può ingiungere di fornirle ogni informazione di cui abbia bisogno. Il riferimento ad “ogni informazione” è esplicato senza alcun limite e supportato dai correlati poteri di ottenere l’accesso a tutti i dati personali ed a tutte le informazioni necessarie, nonché a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti ed i mezzi di trattamento dei dati.
All’autorità di controllo, in questa fase, è anche riconosciuto il potere di notificare le presunte violazioni del Regolamento al titolare o al responsabile del trattamento.
Trattandosi di fase prodromica ancorata ai poteri di indagine, viene adoperata opportunamente la locuzione “presunte violazioni”. Tuttavia, il fatto che si inserisca il potere di notificare presunte violazioni induce a riflettere sul potere dell’autorità di intervenire, anche in fase di indagine, con un atto ufficiale quale la notifica, nei confronti del titolare/responsabile che abbia violato il regolamento, dall’altra pone questi ultimi nella condizione di essere informati, pur se con un atto che riveste già forti caratteri di formalità, sulle indagini che l’autorità sta compiendo.
La sfera dei poteri correttivi di intervento dell’autorità di controllo è altrettanto delicata nella definizione dei suoi confini: ciò in quanto essa ricomprende attività alquanto varie che spaziano dal mero “avvertimento” sul fatto che eventuali trattamenti possano verosimilmente violare il regolamento, e che si basa, pertanto, su di una previsione allo stato prodromico (vero-simile) e frutto di ipotesi prospettica ad interventi di ben altra portata e che incidono direttamente sull’operatività connessa al trattamento dei dati.
Si pensi all’ipotesi in cui, effettivamente, vi sia una violazione delle disposizioni del Regolamento: l’autorità di controllo potrà, in questi casi, rivolgere ammonimenti al titolare/responsabile del trattamento o ingiungere agli stessi di conformare i trattamenti dei dati alle disposizioni del regolamento.
Nel caso in cui l’autorità sia competente per la gestione di una richiesta dell’interessato ai sensi del Regolamento, dovere dell’autorità potrà essere quello di ingiungere di soddisfare le richieste dell’interessato di esercitare i diritti ad esso spettanti o, in caso di violazione, ingiungere di comunicare all’interessato l’avvenuta violazione dei dati personali.
Tra i poteri correttivi emerge quello di imporre una limitazione, che può essere provvisoria o definitiva, al trattamento e che può includere anche il divieto stesso di trattamento, formula che ben si adatta ad incidere sulle violazioni di dati “presenti” presso il titolare del trattamento al tempo dell’imposizione del divieto e circoscritta, eventualmente, ai dati per i quali si è verificata la violazione.
Ma il potere dell’autorità di controllo può interessare anche, in maniera ben più pregnante, una sfera più ampia di dati, ordinando la rettifica, la cancellazione di dati personali o la limitazione del trattamento e ponendo divieti alle attività inerenti i trattamenti fino al potere di revocare la certificazione (o ingiungere all’organismo di certificazione di ritirarla o di non rilasciarla) nel caso in cui giunga alla conclusione che, dati gli eventi, i requisiti a suo tempo riconosciuti non sono o non sono più soddisfatti.
In aggiunta ai delineati poteri correttivi, o in luogo dell’applicazione delle misure sopra riportate, sussiste il potere dell’autorità di infliggere una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento. In effetti tanto la sanzione, quanto le funzioni correttive, sono frutto di un enorme potere riconosciuto all’autorità di intervento sul titolare/responsabile del trattamento, potere che di certo può essere positivamente inteso alla luce del primario principio di indipendenza[3] che connota la stessa istituzione ed organizzazione delle autorità di controllo.
Il terzo raggruppamento di poteri dell’autorità è riunito nell’ambito dei poteri autorizzativi e consultivi.
Si tratta, inevitabilmente, di funzioni che sono strettamente connesse alle competenze ed ai poteri già esaminati e che spaziano, anche in questo caso, dalla consulenza al titolare del trattamento[4], a funzioni tipiche dell’autorità cui è demandato il compito di definire poteri e limiti anche in merito alle autorizzazioni cui è subordinata l’intera attività di trattamento dei dati.
Si pensi al rilascio di pareri su progetti di codici di condotta, all’approvazione degli stessi, al potere di accreditare gli organismi di certificazione ed a quello di rilasciare certificazioni nonché di approvare i criteri di certificazione, ed ancora al potere di adottare le clausole-tipo di protezione, di autorizzare le clausole contrattuali, gli accordi amministrativi e di approvare le norme vincolanti d’impresa. Tutte attività che hanno la precipua funzione di costruire l’assetto organizzativo entro il quale dovrà poi esercitarsi l’attività del titolare/responsabile finalizzata al corretto trattamento dei dati.
Poteri sanzionatori
In merito, invece, alla quantificazione delle sanzioni da applicare in relazione alle violazioni di cui ai paragrafi 4, 5 e 6 del Regolamento, esse vengono definite sulla base dei criteri di effettività, proporzionalità e dissuasività. Ciò lo si ricava dal primo capoverso dell’art. 83.
Se, con i primi due caratteri, si è cercato di creare uno stretto legame tra conseguenze della violazione e sanzione da applicare, nel senso che tanto l’effettività quanto la proporzionalità rappresentano un ancoraggio tra evento e possibile misura della punizione, la dissuasività ha rappresentato, molto probabilmente, il criterio che ha indotto il legislatore ad inasprire l’intero assetto sanzionatorio nella misura in cui l’applicazione della sanzione debba essere percepita dall’azienda in maniera tanto pesante da indurla a non operare più attraverso determinate mancanze.
E tale risultato, in un mondo dove determinante è il ricavo, soprattutto in termini economici, derivante dalle singole attività, non può che passare attraverso la predisposizione di sanzioni amministrative così elevate; anche se, a ben vedere, l’assetto delle misure di cui all’art. 58 risulta altrettanto impegnativo per l’impresa nella misura in cui è in grado di paralizzare la stessa attività vietando il trattamento o revocando la certificazione.
Nella decisione circa l’opportunità di applicare una sanzione amministrativa, in luogo alle misure di cui all’art. 58 o in aggiunta alle stesse, e la quantificazione della stessa assumono particolare rilievo una serie di elementi che sostanzialmente pongono sotto esame l’intero comportamento tenuto nel tempo dal titolare/responsabile del trattamento circa la consapevolezza nonché il grado di collaborazione con l’autorità.
È come se, data la violazione, si tirassero le fila di un comportamento complessivo desumibile non da una singola ultima condotta, ma da tutta una serie di elementi che, sommati tra loro, sono in grado di delineare un cd. profilo comportamentale e, conseguentemente, far discendere dallo stesso la quantificazione di una misura sanzionatoria appropriata.
Riguardo al singolo caso-evento andrà, pertanto, considerata la natura, la gravità e la durata della violazione facendo particolare attenzione non solo al livello di danno subito ma anche al “numero di interessati lesi dal danno”, cosa che, se ha le sue buone ragioni ai fini della commisurazione della diffusione del danno (in rapporto all’ampiezza del raggio di soggetti lesi interessati), dall’altro potrebbe creare qualche perplessità se, data la medesima violazione, si dovessero adoperare criteri sanzionatori differenti nel caso in cui la lesione fosse circoscritta ad un numero minore di soggetti lesi. In questo caso potrebbe crearsi una disparità di trattamento, pur in presenza di una eguale misura di livello di danno subito dai soggetti lesi.
A questa prospettiva esaminatoria, basata avendo riguardo alla natura ed alla gravità della violazione, se ne aggiunge un’altra, che prende in considerazione la correttezza dell’operato relativamente alle attività poste in essere dal titolare/responsabile del trattamento.
Occorrerà esaminare il dolo o l’eventuale colpa della violazione, la consapevolezza del danno già in fase pregressa, per cui verranno valutare le misure adottate per attenuare il danno nel tempo in cui si è avuta notizia dello stesso, nonché il grado di cooperazione posto in essere con l’autorità di controllo, successivamente al verificarsi dell’evento dannoso, e per porre rimedio alla violazione.
Sarà rilevante anche un esame dei precedenti, avuto riguardo alla figura del titolare/responsabile del trattamento come pure al grado di responsabilità degli stessi, tenuto conto delle misure tecniche ed organizzative da loro messe in atto.
Del titolare e del responsabile del trattamento verrà operato, pertanto, uno screening completo, prendendo in considerazioni tutta la pregressa operatività, non solo quella strettamente connessa alla violazione, anche quella utile al fine di individuare l’anello debole che ha determinato la lesione dei diritti, pur nel rispetto dei vari adempimenti eseguiti in conformità alla disciplina di cui al Regolamento.
Nel ripercorrere le varie tappe si esaminerà la modalità in cui l’autorità di controllo ha appreso della violazione, al fine di valutare se vi è stato un atteggiamento collaborativo o omissivo, passando ad esaminare la modalità con cui il titolare del trattamento ha notificato la violazione e si controllerà la presenza di eventuali precedenti provvedimenti disposti ai sensi dell’art. 58, paragrafo 2, nonché il rispetto e l’adeguamento agli stessi.
Saranno infine valutate come ipotesi aggravanti o attenuanti gli eventuali benefici finanziari conseguiti o le perdite evitate conseguenti alla violazione, ampliando, pertanto, l’esame anche alle cd. conseguenze dirette o indirette per l’impresa. Ciò al fine di considerare l’impatto della violazione sull’operato del titolare del trattamento anche in termini di eventuali vantaggi di natura economica derivanti dalla stessa.
Per quel che concerne la misura massima della sanzione amministrativa pecuniaria che può essere inflitta, sempre l’art. 83 opera una distinzione tra:
a) la violazione degli obblighi del titolare/responsabile del trattamento, quelli dell’organismo di certificazione nonché quelli dell’organismo di controllo, per le quali è stabilita una misura massima di 10 000 000 Euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore;
b) le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, dei trasferimenti di dati personali e di qualsiasi obbligo o inosservanza di un ordine, per le quali è fissato un tetto massimo di 20 000 000 Euro o, per le imprese, il 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Medesimo limite massimo sanzionatorio è anche previsto nei casi di inosservanza di un ordine da parte dell’autorità di controllo.
In chiusura, nel doveroso passaggio circa la possibilità degli Stati membri di demandare l’irrogazione della sanzione pecuniaria alle competenti autorità giurisdizionali nazionali, pur rimanendo il potere di avviare l’azione sanzionatoria nella competenza dell’autorità di controllo, vengono nuovamente ripresi, dall’ultimo capoverso dell’art. 83, i caratteri di effettività, proporzionalità e dissuasività che connotano le sanzioni pecuniarie, quasi a rimarcarne i principi di base.
Definizione di cui al co.1 dell’art. 51 “Autorità di controllo” del Regolamento (UE) 2016/679. ↑
Sono questi solo alcuni dei compiti cui fa riferimento l’art. 57 del Regolamento, al quale si fa rinvio per il dettaglio circa i vari compiti. A questi vanno, infatti, aggiunti i compiti che l’autorità di controllo svolge nei confronti del pubblico, promuovendo la consapevolezza riguardo ai rischi, alle norme, alle garanzie ed ai diritti, nonché i compiti che la stessa svolge ad un livello superiore e che si sostanziano in forme di collaborazione con altre autorità di controllo o di consulenza al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative ed amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento. ↑
Al detto principio è ispirata l’intera sezione 1 del Capo VI del Regolamento avente ad oggetto la disciplina delle “autorità di controllo indipendenti”. ↑
Si tratta dei casi in cui il titolare del trattamento attiva la procedura di cui all’art. 36 “consultazione preventiva” quando, ai sensi del primo comma, “la valutazione d’impatto sulla protezione dei dati a norma dell’art. 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”. ↑
