Una parte molto importante del nuovo GDPR riguarda le modalità e i soggetti a cui spetta adottare provvedimenti di natura sanzionatoria o risarcitoria per violazioni del Regolamento.
L’importanza è data dal fatto che il GDPR contiene regole comuni che devono essere applicate in modo uniforme in tutto il territorio dell’Unione.
Per questo il Gruppo dei garanti europei, avvalendosi del potere previsto dall’art.70 lettera k) di elaborare per le Autorità di controllo “linee guida riguardanti l’applicazione delle misure previste dall’art. 58 (poteri delle Autorità di controllo) e dall’art. 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie), ha adottato il 3 ottobre 2017 la opinion n. 253 contenente “Guidelines on the application and setting of administrative fines for the puroposes of the Regulation 2016/679”.
Lo scopo delle Linee guida è di fornire a tutte le Autorità nazionali una lettura comune dei criteri contenuti nell’art.83 ai fini di decidere, “caso per caso” e “situazione per situazione” quali sanzioni applicare e di quale ammontare. Esse tengono conto inoltre dell’art.58 del GDPR che consente alle Autorità anche di adottare provvedimenti non sanzionatori, dare raccomandazioni, definire obblighi che titolari e responsabili del trattamento sono tenuti a seguire.
Il parere n. 253 ha l’obiettivo di garantire che le Autorità, sia rispetto ai provvedimenti non sanzionatori che alle sanzioni previste dai paragrafi 4 e 5 dell’art. 83, seguano criteri comuni che assicurino che disposizioni identiche siano applicate in modo uniforme da parte delle Autorità di controllo.
Si tratta di un parere molto importante per molte ragioni.
Le sanzioni che possono essere comminate vanno fino a dieci milioni di euro o un 2% del fatturato mondiale annuo di impresa, nei casi previsti dal par.4, e fino a venti milioni di euro o il 4% del fatturato mondiale annuo, nel caso del par.5. Dunque è molto importante che i criteri previsti dalle norme siano applicati in modo uniforme in tutto il territorio UE.
La seconda ragione dell’importanza di questo parere è che il reclamo di un interessato contro un trattamento che considera illegittimo può essere fatto sia all’Autorità del Paese in cui il titolare o il responsabile del trattamento hanno lo stabilimento, sia all’Autorità del Paese in cui ha cittadinanza l’interessato.
È evidente che anche la possibilità di reclamo nei confronti di diverse Autorità giustifica il potere riconosciuto dall’art. 70 lettera k) di dettare linee guida vincolanti per l’emanazione di provvedimenti ex art. 58 e l’applicazione delle sanzioni ex art.83. Si tratta infatti di evitare che l’interessato sia incentivato a scegliere di presentare reclamo all’Autorità che, a suo giudizio, segue le prassi provvedimentali e sanzionatorie più efficaci per la tutela dei suoi interessi.
Questo sforzo per omogeneizzare l’attività di enforcement delle Autorità comporta anche che le imprese non possano più essere certe che l’Autorità eventualmente chiamata a controllare e sanzionare la loro attività sia sempre quella nazionale, della quale può essere in astratto più facile pensare, a torto, di poter prevedere i comportamenti.
Il parere n. 253 rafforza dunque in modo decisivo l’importanza di una normativa europea di protezione dati uniforme per il sistema delle imprese europee.
Questo significa che è assolutamente sconsigliabile che un’impresa scelga, magari in base a esperienze del passato, di fare una valutazione probabilistica relativa a quanto possa costare adempiere agli obblighi del GDPR e quanto possa costare, invece, una sanzione comminata per non aver adempiuto.
L’alternatività potenziale delle Autorità, accompagnata dalle regole stringenti poste dalle Linee guida del Gruppo dei garanti europei adottate sulla base dell’art. 70, spinge a un rapido allineamento su standards europei sia con riguardo alle sanzioni da applicare che all’esercizio degli altri poteri assegnati alle singole Autorità dall’art. 58 del GDPR che non si risolvono automaticamente in una attività sanzionatoria.
In sostanza le nostre impese devono assolutamente evitare di farsi spaventare troppo dall’apparato sanzionatorio e provvedimentale che gli art. 58 e 83 riconoscono alle Autorità. Allo stesso tempo, però, devono evitare di cadere nella tradizione tutta italiana del: “io, speriamo che me la cavo”.
Da un lato, l’Autorità italiana dovrà adeguarsi alle medesime prassi delle altre Autorità europee e operare sulla base degli standard e dei criteri già fissati dal parere n. 253. Da un altro lato, nessuna impresa che non operi unicamente e soltanto nel contesto locale, senza clienti e fornitori in altri Paesi, può essere certa che eventuali trattamenti difformi dal Regolamento non siano oggetto di reclamo da parte di interessati residenti in altri Paesi.
Il quadro relativo all’enforcement posto a tutela del GDPR non si esaurisce però solo nel potere di reclamo da parte dell’interessato all’Autorità di cui all’art. 77, né nei poteri di controllo e di sanzione degli art. 58 e 83 che possono, e in molti casi devono, essere esercitati anche senza attendere il reclamo di un interessato.
Il GDPR contiene due norme che disciplinano esplicitamente il diritto di ricorso alla Autorità giudiziaria.
La prima, contenuta nell’art.78, riconosce non solo all’interessato ma a “ogni persona fisica o giuridica” il diritto di poter proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’Autorità di controllo che li riguarda.
Si tratta dunque di una norma che può essere usata non soltanto dall’interessato o dal titolare o responsabile, ma anche da qualunque persona fisica o giuridica che si senta lesa da una decisione giuridicamente vincolante dell’Autorità di controllo.
Un motivo in più perché le imprese non pensino che l’orizzonte del giudizio o controllo sui loro comportamenti e le loro eventuali violazioni si esaurisca nel raggio dell’Autorità di controllo.
Va da sé, inoltre, che se la decisione fosse stata assunta da una Autorità diversa da quella nazionale, a seguito di un reclamo presentato da un cittadino dello Stato al quale essa appartiene, anche il ricorso giurisdizionale dovrebbe essere presentato presso la giurisdizione di quel Paese.
Un altro motivo che conferma quanto sia rischioso col nuovo GDPR contare su una applicazione solo nazionale delle nuove norme comuni europee.
Inoltre va tenuto presente che il potere di ricorso non è più limitato al solo interessato o al titolare o responsabile colpito della decisione ma si estende a una platea potenzialmente ampia che, specialmente pensando alle nuove tecnologie legate ad AI e IoT, può diventare amplissima.
Anche sotto questo profilo, dunque, la raccomandazione più utile da fare alle nostre imprese è di evitare ogni scorciatoia finalizzata a una sostanziale disapplicazione o applicazione bord line del GDPR.
I rischi che si corrono sono davvero troppo alti e sconsigliano caldamente dal mettersi su questa via.
Il quadro va completato con riferimento ad altre due disposizioni finora assai poco sottolineate dai commentatori.
La prima disposizione è contenuta nell’art. 80 e consente che un interessato possa dare mandato a “un organismo, un’organizzazione o un’associazione senza scopo di lucro…” di proporre reclamo per suo conto all’Autorità di controllo o di ricorrere al giudice contro la decisione dell’Autorità.
A questo va aggiunto che il secondo paragrafo del medesimo articolo prevede che spetta agli Stati membri decidere se e in quali caso tali organi o organismi potranno agire anche senza mandato dell’interessato.
È evidente che questa disposizione, vincolante nel primo paragrafo, rimessa agli Stati, nel secondo, prefigura forme di tutela forte degli interessati. Essa infatti consente (e favorisce) forme di azione collettiva in grado di limitare il disequilibrio che troppe volte nel passato si è verificato tra interessati economicamente e numericamente “deboli”, e titolari e responsabili economicamente e organizzativamente “forti”.
Dunque è bene che le imprese prendano buona nota che anche sul terreno del potenziale disequilibrio di forza tra impresa e reclamante o ricorrente lo “spazio di resistenza” si fa assai più ristretto. Per contro la tutela assicurata ai reclamanti e ricorrenti si traduce anche in una forte tutela al rispetto pieno e integrale del GDPR.
La seconda disposizione che è bene le imprese abbiano sempre presente è contenuta nell’art.82 e riguarda il diritto riconosciuto a “chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento” di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
Il risarcimento del danno va ovviamente chiesto all’autorità giudiziaria competente, e anche in questo caso è data al ricorrente la scelta tra l’autorità giudiziaria del Paese in cui il titolare o il responsabile hanno lo stabilimento e quella del Paese dove il ricorrente risiede.
Il risarcimento del danno così configurato, esteso a chiunque lamenti un danno materiale o immateriale e azionabile anche davanti all’autorità giudiziaria dello Stato dove si risiede, costituisce dunque una ulteriore spinta a pretendere estremamente sul serio il GDPR.
Una raccomandazione che è bene fare con forza, giacché ormai anche la magistratura italiana, ma molto di più quella degli altri Paesi UE, è entrata nell’ordine di idee che trattamenti illeciti di dati personali possono provocare effettivi danni materiali e immateriali che devono esser risarciti in ragione della violazione di legge che li ha causati e applicando le tradizionali regole legate al risarcimento del danno.
Solo per aprire uno spiraglio sul futuro e sull’enorme efficacia che anche una norma di questo genere ha, e di più potrà avere in avvenire, si pensi alla responsabilità per danno provocata da programmi che, trattando illecitamente (anche solo per mancanza di informazione) i dati personali, spingano robot, o cose tra loro connesse, a provocare danni anche solo immateriali a una persona fisica o giuridica.
Concludendo si può dire che queste norme dovrebbero far comprendere a tutti, imprese, consulenti, DPO, che la protezione dei dati personali è ormai un settore di importanza centrale non solo a tutela dei diritti fondamentali della persona ma a tutela della società nel suo complesso. Per questo, ogni violazione e ogni ritardo nell’attuazione di questo Regolamento può costare davvero moltissimo alle imprese.
