Violazioni della privacy: le sanzioni del GDPR - Legal For Digital
Blog di Legal For Digital

Violazioni della privacy: le sanzioni del GDPR

violazioni-della-privacy

Violazioni della privacy ai tempi del GDPR, cosa vuol dire?

  • Il GDPR ha portato ad un innalzamento del valore dei dati personali a diritti inviolabili dei cittadini, con proporzionale inasprimento delle sanzioni per violazione della privacy.
  • Oggetto della violazione sono i dati personali di una persona fisica. Quindi tutti quei dati che rendono la persona identificata o identificabile.
  • Il significato di “trattamento” dei dati ha raggiunto la sua massima estensione, quindi anche le corrispondenti violazioni sono ampliate.
  • Il sistema sanzionatorio è uno dei capisaldi del regolamento europeo.

Violazione privacy sanzioni

Dal diritto alla privacy derivano responsabilità amministrative, civili e penali.

Violazioni della privacy: sanzioni amministrative e pecuniarie 

Sono quelle previste per la violazione del GDPR

I soggetti che possono essere multati sono il titolare del trattamento, il responsabile del trattamento, l’organo di certificazione.

L’autorità preposta all’emissione delle sanzioni è il Garante per la Privacy

Il regolamento europeo suddivide le violazioni della privacy in due categorie:

  1. le violazioni della privacy meno gravi sono quelle che prevedono un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni relative alle modalità di esecuzione del trattamento dati prescritte dal GDPR. Quindi, ad esempio:
    • Manca il registro del trattamento (del titolare o del responsabile del trattamento)
    • Non si è provveduto alla nomina del DPO
    • Non si è fatta la valutazione d’impatto DPIA
    • Omessa notifica di databreach
    • Violazione degli obblighi dell’organo di certificazione
  2. le violazioni della privacy più gravi sono quelle che prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni ai principi generali stabiliti dal GDPR, quindi: 
    • Manca il consenso al trattamento
    • Violazione dei diritti dell’interessato
    • Mancanza o inidoneità dell’informativa privacy
    • Violazione delle disposizioni circa il trasferimento dei dati a Paesi Terzi

Il GDPR non indica un importo minimo delle sanzioni, ma stabilisce dei criteri per cui la sanzione deve essere effettiva, dissuasiva e proporzionata. Quindi da un lato stabilisce il principio della proporzionalità della pena, e dall’altro puntualizza che la pena non può essere solo simbolica.

Il regolamento stabilisce poi come calcolare l’importo della sanzione, in base a:

  • gravità del danno
  • dolo o colpa del titolare o del responsabile nel commettere l’infrazione
  • misure prese dal titolare o dal responsabile per attenuare il danno agli interessati
  • reiterazione dell’illecito
  • combinazione di più violazioni

In funzione di questi criteri l’autorità di controllo valuta caso per caso l’importo della sanzione. 

Violazioni della privacy: correttivi

Un altro strumento previsto dal GDPR che viene emesso dal Garante per la Privacy, è il correttivo. Questa misura può essere rivolta al titolare e al responsabile del trattamento. 

Esempi di correttivi: 

  • Limitazione, sospensione o blocco dei trattamenti
  • Avvertimenti per rischio di violazione delle norme
  • Ammonimenti per comportamenti che hanno violato le norme
  • Ingiunzioni a rispondere alle richieste dell’interessato 

Violazioni della privacy e responsabilità civile

Le violazioni della privacy possono comportare anche un danno per l’interessato i cui dati sono stati violati. In questo caso l’interessato può chiedere risarcimento. 

I soggetti imputabili sono il titolare e il responsabile del trattamento. Non il DPO perché non ha alcuna responsabilità nei confronti dell’interessato. Il DPO ha responsabilità contrattuali solo verso il titolare del trattamento.

Quali sono i casi in cui si può chiedere il risarcimento del danno per violazione trattamento dati personali?

  • Quando la violazione ha portato ad un danno fisico, materiale o immateriale
  • Quando ha avuto come conseguenze la discriminazione, o danno all’identità dell’interessato
  • Se la violazione ha comportato un pregiudizio alla reputazione
  • Oppure se c’è stata la violazione di dati protetti dal segreto professionale
  • Se oggetto della violazione sono dati sensibili

Per questo tipo di illecito si applica il principio d’inversione dell’onere della prova: è il titolare del trattamento che deve dimostrare la sua innocenza.

Violazione della privacy reato

Quando sorge la responsabilità penale connessa alla violazione alla privacy?

Il GDPR rinvia alle normative degli Stati membri circa la configurazione dei reati per violazione della privacy. L’Italia ha dovuto revisionare la normativa del Codice della Privacy. Infatti da una parte illeciti che il GDPR inquadra come amminstrativi, per l’Italia constituivano reati, dall’altra parte l’Italia ha introdotto fattispecie di reato nuove che nel complesso vanno ad inasprire il sistema sanzionatorio per violazione privacy.

Le fattispecie che integrano il reato sono:

  • Trattamento illecito dei dati personali; se il trattamento riguarda dati trattati “su larga scala” l’infrazione è più grave
  • Falsità nelle dichiarazioni fatte al garante
  • Inosservanza delle disposizioni del Garante
  • Violazione della riservatezza dei dipendenti da parte del datore di lavoro in due casi particolari:
    • utilizzo di strumenti di controllo a distanza quando non ci sono le esigenze produttive o organizzative, o comunque senza le dovute autorizzazioni
    • indagini su dipendenti o candidati all’assunzione su fatti non rilevanti ai fini dell’attività lavorativa

Le sanzioni penali devono essere coordinate fra il Pubblico Ministero e il Garante per la privacy.

Violazioni della privacy denuncia

Il GDPR trova il suo fondamento negli strumenti che vengono riconosciuti all’interessato affinché possa esercitare il suo diritto alla privacy. L’interessato ha a disposizione 3 strumenti da utiizzare presso il Garante per la privacy: il ricorso, il reclamo e la segnalazione. Ha poi l’alternativa della giustizia ordinaria. Quello che vuol fare il GDPR è mettere la parte debole, cioè l’interessato, al centro della normativa, fornendogli le massime agevolazioni per tutelare la sua privacy.

Il primo passo che deve fare l’interessato per gestire i consensi è l‘istanza, da presentare al titolare del trattamento. Il documento non richiede l’esercizio di alcuna particolare formalità. Quindi può essere mandato per raccomandata come per posta elettronica. La richiesta può rigurdare uno specifico dato personale, oppure tutti i dati della persona trattati dall’impresa. Il titolare del trattamento ha come termine un mese per rispondere, che può essere prorogato a due mesi se la richiesta è particolarmente complessa 

Scaduto il termine, se l’interessato non riceve risposta, oppure non ne è soddisfatto può, in via alternativa, presentare denuncia all’autorità giudiziaria, oppure ricorso al Garante della Privacy. 

Il ricorso

Rispetto alla disciplina precedente, il GDPR ha innovato stabilendo che il ricorso è uno strumento gratuito.

Il vantaggio di questa procedura, oltre ad essere gratuita, è il fatto che l’interessato non ha bisogno di farsi rappresentare da un avvocato. Il ricorso infatti può essere presentato dall’interessato stesso. 

Altro punto a favore del reclamo è la velocità della procedura: il Garante è tenuto a rispondere entro 60 giorni.

Vale qui il principio del silezio-rigetto

Se il ricorso viene accolto, il Garante può ordinare la sospensione, il blocco o la cancellazione dei dati da parte del titolare del trattamento. E ovviamente può imporre al titolare la cessazione del comportamento illegitiimo.

Il ricorso si può presentare solo in due casi:

  1. Il titolare non ha risposto all’istanza
  2. La risposta all’istanza non è soddisfacente

La denuncia

Bisogna ricorrere alla denuncia per via ordinaria se si ha intenzione di chiedere il risarcimento del danno. È necessario essere rappresentati da un avvocato difensore abilitato.

Se il ricorso è contro la decisione del garante, deve essere presentato entro 30 giorni dalla comunicazione.

I tempi sono quelli della giustizia ordinaria e la sentenza non è appellabile

Per quanto riguarda le responsabilità, il titolare è tenuto al risarcimento del danno se è coinvolto nel trattamento che violando il GDPR ha causato il danno. Il responsabile risponde solo se non ha adempiuto agli obblighi previsti dal GDPR, oppure ha agito in maniera difforme rispetto alle istruzioni che gli ha fornito il responsabile del trattamento

Gli altri strumenti a disposizione dell’interessato: il reclamo e la segnalazione

Con questi strumenti si accede alla tutela amministrativa. Il reclamo è un atto circostanziato. Anche il reclamo con il regolamento europeo è diventato gratuito.

Il GDPR richiede la presenza di un contenuto minimo:

  • la descrizione più possibile dettagliata dei fatti
  • i dati del titolare del trattamento
  • la documentazione che dimostra i fatti
  • il mandato  al difensore o all’associazione che assiste l’interessato, se non agisce lui direttamente

In ogni caso si può trovare un modello precompilato sul sito del garante, affinché anche i privati possano da soli attivare la procedura.

I tempi di risposta del Garante possono arrivare fino a nove mesi prorogabile fino a dodici.

Si ricorre alla segnalazione se mancano i requisiti per poter fare un reclamo. Ad esempio non ci sono prove sufficienti per dimostrare l’illegittimità del comportamento. Questo strumento serve a sollecitare un controllo da parte del Garante che non necessariamente sfocerà in un provvedimento. 

Violazioni della privacy per data breach

Il data breach si verifica quando c’è una violazione accidentale dei dati personali degli interessati. I casi sono:

  • abuso
  • perdita 
  • furto 
  • distruzione 
  • diffusione indebita

Il GDPR prevede che il titolare metta in atto una procedura da attivare immediatamente: prima di tutto deve registrare la violazione sul registro per il trattamento. Stessa cosa deve fare il responsabile del trattamento, ma in più il responsabile ha l’obbligo di notifica al titolare. Dopo di che il titolare deve fare una valutazione circa il pericolo che corre la privacy dell’interessato.Se c’è grave pericolo per la libertà e i diritti dell’interessato sorge l‘obbligo di notifica all’interessato stesso, da effettuare entro 72 ore dalla violazione. Il GDPR puntualizza che nella comunicazione si deve utilizzare un linguaggio semplice.

Il titolare è dispensato dall’obbligo di notifica in tre casi

  • la comunicazione richiede sforzi troppo gravosi
  • ha già preso le misure di sicurezza adeguate
  • aveva utilizzato misure tecniche che non consentono il riconoscimento dei dati

Il titolare ha l’obbligo di notifica al Garante della Privacy entro 72 ore dal data breach se la violazione rappresenta un grave rischio per i diritti e le libertà dell’interessato.

La comunicazione al garante deve contenere come minimo queste informazioni:

  • natura della violazione
  • l’ammontare del numero delle persone interessate
  • possibili conseguenze della violazione
  • misure adottate
  • dati di contatto del DPO se presente

Quali sono le violazioni che può commettere il titolare in caso di data breach?

  • Dalle indagini può emergere che il titolare non è stato “accountable” nel proteggere i dati dell’interessato. Quindi può essere accusato di negligenza. 
  • Può non aver rispettato i requisiti di procedura del data breach in merito ai contenuti delle comunicazioni
  • Può risultare che non abbia fatto una corretta valutazione dei rischi, omettendo le notifiche all’interessato o al Garante
  • Le misure di sicurezza messe in atto possono non risultare adeguate in base alla valutazione del Garante.

Sanzioni per violazione dei dati: alcuni casi

Da due anni è entrato in vigore il GDPR e si iniziano a vedere i primi esiti dei controlli effettuati dai garanti negli Stati membri. 

Sono stati multati colossi del web e grandi aziende, e le sanzioni hanno puntato verso gli importi massimi erogabili.

Alcuni esempi:

Multa ad un’azienda ospedaliera per violazione dei dati sanitari

I dati sanitari sono dati particolari, e come tali godono di una tutela alla riservatezza molto forte. 

L’azienda ospedaliera è stata sanzionata per un importo di 30mila euro perché alcuni dipendenti avevano visto i dati sanitari dei colleghi. La violazione era stata causata dal comportamento negligente di un medico che aveva lasciato incostudita la postazione di lavoro e i dipendenti hanno utilizzato le sue credenziali per spiare i dossier sanitari degli altri impiegati. La denuncia è stata fatta dalla stessa azienda ospedaliera. 

La violazione è relativa al trattamento illecito dei dati, dovuto alla mancanza di idoneità delle misure adottate dall’impresa per conservare i dati dei pazienti, inidonee a garantirne la protezione.

Sanzione alla piattaforma Rousseau

L’associazione era già sotto osservazione del Garante che aveva comminato una sanzione con il precedente codice privacy, per mancanza di livelli adeguati di sicurezza nella conservazione dei dati.

La multa  di importo di 50mila euro è arrivata di nuovo nel 2019. Anche se si è innalzato il livello di sicurezza dei trattamenti rispetto alla volta precedente, tuttavia il sistema presenta ancora notevoli falle:

  1. la mancanza del tracciamento completo degli accessi al database, non permette al titolare di verificare la liceità dei trattamenti
  2. la condivisione delle credenziali di autenticazione da parte di più incaricati non permette di verificare che ognuno tratti i dati nei limiti dell’autorizzazione concessa dal titolare

Multa all’ENI

Sanzione inflitta dal garante per due violazioni:

  1. Trattamenti illeciti nelle attività di telemarketing
  2. Violazioni nell’attività di attivazione di contratti per via telefonica

Le infrazioni riguardano:

  • la mancanza del il consenso o addirittura il diniego del consenso all’attività di telemarketing
  • la mancata attivazione della procedura di verifica al Registro pubblico delle opposizioni
  • Tempi di conservazione dei dati oltre il limite del raggiungimento delle finalità per cui erano stati richiesti
  • Acquisizione di nuovi clienti attraverso agenzie operanti per suo conto con procedure non conformi al GDPR

Queste infrazioni sono costate al colosso del gas 11milioni di euro 

Conclusioni

Sebbene il GDPR basi la sua effettività su un sistema sanzionatorio innovativo rispetto alla normativa precedente, lascia però aperti molti interrogativi.

Prima di tutto cosa si intende come “gruppo” quando ci si riferisce all’impresa?

Poi come vengono notificate e riscosse le sanzioni irrogate a multinazionali o che hanno sede fuori dall’UE.

Infine è vero che nell’applicare le sanzioni sono definiti dei criteri, gravità della violazione, durata della violazione, colpevolezza, sono alcuni. Tuttavia è lasciato uno spazio interpretativo molto ampio, forse troppo, all’autorità di controllo che deve comminare la sanzione.

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO