Antonio Ciccia Messina
Patteggiamento per le violazioni privacy. Alcune società belghe (settore media) hanno raggiunto un accordo con il locale Garante della privacy e, senza riconoscimento della loro responsabilità, hanno accettato di pagare 10 mila euro per alcune violazioni della privacy. Il provvedimento (decisione n. 151/2022 del 21/10/2022, reso noto dal sito gdprhub.eu) rappresenta il primo caso, di cui si ha notizia, di accordi di questo tipo. L’episodio mette sotto i riflettori il sistema sanzionatorio del regolamento Ue sulla privacy 2016/679. Prevede solo due fasce di sanzioni, ciascuna delle quali, per un numero elevato di illeciti, stabilisce solo massimi edittali, rispettivamente di 10 milioni e 20 milioni di euro. Questa tecnica lascia ampio spazio di manovra nella determinazione dell’importo della sanzione nei singoli procedimenti, mettendo a repentaglio la prevedibilità della sanzione stessa. L’ammontare astratto delle sanzioni al tempo stesso può risultare draconiano per piccole e medie entità e mite per i grandi del web. In questa cornice si inserisce il caso belga. I vari titolari di trattamento hanno raggiunto un accordo con il garante della privacy a proposito dell’uso dei cookie sul loro siti web. Le imprese, dal canto loro, si sono impegnate a rispettare i termini dell’accordo (che si desume riguardare anche le modalità di uso dei cookie, ma nulla è specificato) e a pagare la somma di 10 mila euro. Peraltro, l’accordo sancisce che il Garante della privacy non ha preso alcuna decisione sull’esistenza di una violazione e ha formalmente chiuso la procedura. Si aggiunge che non vi è riconoscimento di responsabilità da parte delle imprese e che l’accordo in quanto tale non costituisce un precedente negativo a carico delle imprese e, quindi, non è circostanza tale da determinare un aumento delle sanzioni in eventuali futuri procedimenti sanzionatori. Un’ultima importante condizione dell’accordo prevede che lo stesso non impedisce a terzi interessati di rivolgersi al tribunale per la tutela dei loro diritti: in sostanza una persona danneggiata potrà sempre agire in giudizio separato. La vicenda belga mette in evidenza quello che il Parlamento Ue aveva denunciato già nel 2021 (risoluzione 25 marzo): l’importo delle sanzioni per violazioni privacy varia notevolmente da uno Stato all’altro. Il Parlamento ha invitato la Commissione Ue e il comitato europeo per la protezione dei dati (Edpb) ad armonizzarle mediante linee guida e criteri chiari, “al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse”. Il patteggiamento privacy del rito belga, non proponibile in altri stati, come l’Italia, in cui si applica il Gdpr, conferma la ricostruzione del Parlamento Ue e rappresenta un elemento di disarmonia in base alla collocazione geografica.
Fonte: