Gdpr, perimetro delle sanzioni amplificato fino a 20 milioni

Pagine a cura di Antonio Ciccia Messina
Le sanzioni per violazioni della privacy arrivano fino a 20 milioni di euro. Partendo da zero. Una forbice così larga da atterrire qualunque piccola e media impresa, professionista e anche ente pubblico. È quanto discende dalla possibilità di contestare la violazione di un articolo del regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr): si tratta dell’articolo 5, dedicato ai principi generali. È una questione sottile e sa anche un po’ di trabocchetto.

Il Gdpr è un elenco di obiettivi da raggiungere, di obblighi e divieti. I quali, se non raggiunti, sono puniti con sanzioni amministrative: sanzioni che sono di importo stellare. Apparentemente ci sono due fasce, ma in realtà la fascia è una sola. La prima fascia va da zero a 10 milioni euro o, se superiore, al 2% del fatturato mondiale annuo delle imprese. La seconda fascia va da zero a 20 milioni euro o, se superiore, al 4% del fatturato mondiale annuo delle imprese.

La prima fascia sanziona i titolari di trattamento se non adempiono gli obblighi loro imposti. La seconda fascia sanziona le violazioni dei principi del Gdpr e dei diritti degli interessati. Tutto ciò solo in apparenza, perché l’articolo 5 Gdpr unifica tutto in una sola fascia, quella più alta, senza possibile di graduare la sanzione: la sanzione è la stessa sia per una violazione formale lievissima, sia per una violazione sostanziale gravissima. Vediamo perché. Innanzitutto la ragione sta in quello che dice l’articolo 5 citato. La norma in questione sciorina una serie di principi: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.

E come non essere d’accordo? Certamente chi tratta dati altrui (una Pmi, un professionista, un ente pubblico) deve essere corretto e deve stare attento a non usare dati inesatti. Il problema, però, non è declamare astratti e incontestabili principi. Il problema è che l’articolo 5 non ha solo un valore di enunciazioni di principi, ma è anche un articolo dalla cui violazione deriva l’applicazione della sanzione fino a 20 milioni/4% del fatturato. In sostanza, se uno viola la correttezza o l’esattezza o l’integrità o la riservatezza rischia una sanzione fino a 20 milioni di euro. Ma cosa significa violare la correttezza o la trasparenza o la liceità? E ci saranno tanti elenchi di risposte quante le persone che rispondono. Inevitabile, allora, riflettere sul fatto che il Gdpr non descrive in maniera esatta le azioni e le omissioni che sono sanzionate. In sostanza l’articolo 5 usa parole di significato tanto ampio, che qualche cosa che non va si può sempre trovare.

Beninteso, non si intende discutere la lealtà delle autorità di controllo (amministrative e giurisdizionali), che si dà per scontata. Il problema è se sia leale la legge che scrive una norma sanzionatoria in bianco: norma che per di più è un ascensore che porta in su l’importo della sanzione.

Facciamo un esempio. Per essere a posto con il Gdpr un piccolo imprenditore deve adottare le misure di sicurezza adeguate per i propri computer, server a dispositivi elettronici. Lo impone l’articolo 32 Gdpr, dalla cui violazione scaturisce una sanzione fino a 10 milioni/2% del fatturato. Però l’articolo 5 impone di trattare i dati trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. E se non si rispetta l’articolo 5, la sanzione raddoppia (fino a 20 milioni/4% del fatturato). A questo punto non è ben chiaro quando si deve contestare l’articolo 32 e quando invece si deve contestare l’articolo 5, nella parte relativa alla sicurezza. Con la conseguenza che chi non adotta le misure di sicurezza non sa se andrà incontro alla sanzione prevista per la violazione dell’articolo 5 o dell’articolo 32 Gdpr. Questo significa, rimanendo al discorso sull’importo delle sanzioni, che per le violazioni delle misure di sicurezza la prospettiva è di subire una sanzione da zero a 20 milioni/4% del fatturato.

Ora non si mette in dubbio che le sanzioni debbano essere dure e disincentivanti, ma non è vero che l’effettività della regola sostanziale deriva da sanzioni di sproporzionata quantità. È vero che la protezione dei dati deve diventare una cultura diffusa, deve diventare un modo di pensare universale, ma è anche vero che un quadro sanzionatorio sproporzionato non aiuta.

Si ritiene, invece, che si debba costruire un sistema di punizioni basate su precetti chiari, se non tassativi, senza ripetizioni e sovrapposizioni e che abbia una scaletta di sanzioni adeguate alla gravità degli illeciti.

Avere una sola forbice di sanzioni dal nulla a cifre esorbitanti e insopportabili da una qualunque piccola o media impresa significa aprire le porte all’indefinito senza garanzie.

© Riproduzione riservata

Nel comparto sanitario occorre allerta massima sui dati sensibili
Attenti alla posta sanitaria. Sbagliare destinatario costa carissimo. Come è successo a un ospedale che, a causa di un errore materiale in fase di imbustamento, ha mandato per posta a soggetti terzi estranei una relazione medica cartacea riferita ad altre persone. Il Garante della privacy ha valutato il caso e ha applicato la sanzione di 10 mila euro.

Altri due episodi hanno coinvolto un altro ospedale. In un primo caso era stato spedito per errore a una assicurazione un referto di esame microbiologico appartenente a un paziente. L’ospedale ha contattato l’assicurazione richiedendone l’immediata distruzione del referto. La seconda vicenda ha riguardato la consegna di una copia di una cartella clinica all’erede dell’intestatario della cartella, contenente un referto di un paziente diverso. Anche in questo caso l’ospedale ha recuperato il documento inviato per errore e ha acquisito la dichiarazione che la copia non è stata divulgata a terzi.
Queste due vicende di spedizioni cartacee errate hanno esposto l’ospedale a una sanzione di 10 mila euro. In tutti e due i casi si potrebbe sostenere che si tratta di violazioni della riservatezza o confidenzialità causate da non adeguate misure organizzative e cioè di violazioni dell’articolo 32 Gdpr. Peraltro, in tutte e due i casi il Garante ha applicato la sanzione per violazione dell’articolo 5 Gdpr (provvedimenti n. 29 e n. 30 del 27 gennaio 2021; n. 30 del 27 gennaio 2021).

L’importo della sanzione si è posizionato su un livello basso se confrontato con il massimo edittale (20 milioni), ma è anche vero che si è trattato, nel primo caso, di una sola spedizione sbagliata e, nel secondo caso, di due sole spedizioni sbagliate. Ed è anche vero che per un ente pubblico dieci mila euro non sono mai un importo trascurabile, se si pensa alla rivalsa nei confronti dell’autore materiale della violazione.
Beninteso: non si vuole sostenere che bisogna passare sopra al lassismo degli organismi sanitari. Al contrario, il comparto sanitario è quello in cui l’attenzione ai dati sensibili deve essere massima. Ma ci si chiede se l’effettività della protezione sia raggiungibile con sanzioni draconiane. E che nella prassi europea vanno a zig zag.

Cosa succede in Europa. In Spagna, il Garante della privacy iberico ha irrogato una sanzione di 2 mila euro a un avvocato che, nel corso di un processo, ha presentato documenti cartacei il cui dorso conteneva dati personali di altre parti estranee. Il Garante spagnolo ha valutato meritevole di una sanzione di 5 mila euro l’accesso dei dipendenti ai dati sanitari di una persona interessata.

Notevolmente più elevata è stata la sanzione (30 mila euro) applicata dal Garante spagnolo nel caso di indebito accesso di un terzo al nome, al numero di telefono e all’indirizzo di un’altra persona.

Si è posizionato a livelli più bassi (3 mila euro una volta e 4 mila un’altra) il Garante romeno che ha punito un paio di aziende per avere inviato e-mail a un cliente contenente dati personali di un altro cliente.

In Slovacchia lo smarrimento documenti inviati con posta ordinaria ha meritato una sanzione di 50 mila euro.

© Riproduzione riservata

Strategia di difesa in tre mosse
Sono tre i filoni principali delle difese in caso di contestazioni di violazioni della privacy: l’illecito non è sanzionabile; la mancanza commessa merita un ammonimento e non una sanzione pecuniaria; ci sono ragioni per cui la sanzione deve essere mantenuta su livelli più bassi.

Vediamo, dunque, come potersi muovere e quali specifiche motivazioni si possono inserire negli atti difensivi.

Non sanzionabilità. Il primo gruppo di difese consiste nell’eccepire ragioni per cui l’illecito non è sanzionabile. Può trattarsi, per esempio, che non risulti provata alcuna condotta negligente, imprudente o priva di perizia o nessuna violazione di legge, regolamento, ordine o disciplina.
L’assenza di colpa può derivare dalla non comprensibilità della norma ai fini della sua corretta applicazione oppure dalla situazione di incertezza normativa oggettiva, consistente nella stessa difficoltà di individuazione delle disposizioni normative applicabili. Anche la mancanza di una prassi da parte delle autorità di controllo o l’adozione di prassi contrastanti può giocare un ruolo esimente.

Da valutare a discolpa abbiamo anche la mancanza di precedenti decisioni dell’autorità di controllo e/o di precedenti giurisprudenziali o la formazione di orientamenti contrastanti presso le autorità di controllo.

La non sanzionabilità può essere eccepita a fronte del fatto che il fatto non è stato commesso dal titolare/responsabile del trattamento oppure è stato commesso da un terzo.

Anche le scriminanti conducono alla non applicabilità di sanzioni: si pensi all’adempimento di un dovere, all’errore sul fatto non determinato da colpa.

Un’ultima eccezione fa appello all’intervenuta prescrizione (anche se di difficilissima evenienza).

Ammonimento. Una seconda strategia scommette sul fatto di evitare la sanzione pecuniaria, rimanendo destinatari di un ammonimento da parte del Garante.

I motivi per cui si può sperare in un ammonimento possono essere: violazione minore; sanzione pecuniaria sproporzionata per la persona fisica; sanzione sproporzionata per la piccola impresa/impresa artigiana; lievità del fatto; lievità del danno; lievità della colpa; assenza di iscrizioni/annotazioni a carico del titolare/responsabile nei registri interni delle violazioni.

Allo stesso risultato si può aspirare nei casi di: condotta particolarmente risalente nel tempo; completa rimozione degli effetti della violazione; idonee assicurazioni da parte del titolare/responsabile del trattamento.
Quantificazione della sanzione. Una terza strategia si affida alla minimizzazione dell’importo della sanzione. A questo fine si può far valere che la violazione è di natura formale e nessun pregiudizio è occorso agli interessati o che la violazione ha comportato un pregiudizio di lieve entità, considerato che i dati personali non sono di natura particolare e non riguardano reati o condanne.

La riduzione della sanzione a livelli bassi si può chiedere adducendo la breve durata della violazione oppure che il numero di interessati lesi è di poche unità o, ancora, che il livello del danno subito dagli interessati è lievissimo, poiché si è trattato di un fatto istantaneo, senza comunicazione a terzi o diffusione.

Farà bene a chiedere un ridimensionamento della sanzione anche il titolare/responsabile che abbia integralmente risarcito il danno subito dagli interessati o che abbia adottato specifiche misure per attenuare il danno subito dagli interessati.

L’assenza di recidiva e l’autodenuncia (avere prontamente dato notizia dei fatti all’autorità di controllo), in particolare l’avere immediatamente notificato la violazione della sicurezza all’autorità di controllo ex art. 33 Gdpr, sono altrettanti motivi per abbassare l’asticella dell’importo della sanzione.

Vanno in questa direzione anche: l’avere immediatamente comunicato la violazione agli interessati; l’avere dimostrato un alto grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; la natura non sensibile dei dati personali.

Si dovrà tenere conto anche del fatto che il titolare ha aderito e osservato un codice di condotta approvato dall’autorità di controllo ai sensi dell’articolo 40 Gdpr oppure se ha osservato le condizioni della certificazione approvata ai sensi dell’articolo 42 Gdpr.Completano il quadro delle possibili motivazioni di un ribasso della sanzione: il non avere tratto benefici economici dalla commessa violazione; le condizioni economiche del trasgressore e, infine, l’immediata adesione a quanto richiesto dall’interessato nel reclamo presentato all’autorità di controllo.

© Riproduzione riservata
Fonte:
logoitalia oggi7