Numerose le novità introdotte dal nuovo Regolamento; tra queste assumono una particolare importanza le sanzioni GDPR formanti un apparato sanzionatorio unico ed armonizzato in tutti gli Stati Membri e che, al contempo, si presenta molto severo, prevedendo multe che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato globale del trasgressore.
Cifre che neanche le aziende più grandi e le multinazionali possono permettersi di prendere alla leggera.
Con il sopravvento del mercato digitale, una riforma generale della normativa sulla protezione dei dati personali era indispensabile per regolamentare i flussi di “Big Data” che attraversano il pianeta da un estremo all’altro.
Era quindi fondamentale conseguire un ombrello normativo all’interno dell’UE; l’obiettivo si è raggiunto grazie all’adozione del Regolamento 679/2016 (GDPR) in tema di privacy e trattamento dei dati personali.
Non può di certo sfuggire come il legislatore europeo, in occasione dell’adozione di questo “inedito” trattamento sanzionatorio, abbia colto l’occasione di soddisfare una primaria esigenza: quella di uniformare il quadro sanzionatorio negli Stati UE a fronte delle profonde divergenze tra gli Stati Membri in ordine all’entità delle sanzioni e ai criteri adottati dal singolo Garante, cercando di livellare le sostanziose differenze e le particolarizzazioni adottate da singolo Stato Membro.
Ai sensi dell’art 24 della Direttiva 95/46/CE, rubricato “Sanzioni” si prescrive che: “Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva.”
Non meno interessante sottolineare l’intento del nuovo Regolamento di rafforzare le sanzioni GDPR, soprattutto nella loro entità, inasprendo le sanzioni GDPR di carattere pecuniario e ampliando la casistica delle prescrizioni del Regolamento che sanciscono l’illiceità di una determinata tipologia di circolazione del dato.
Si potrebbe quasi azzardare un “parallelo” con la filosofia alla base della nota categoria dei c.d. danni punitivi, caratterizzati da una funzione deterrente che si va ad aggiungere a quella reintegrativa del patrimonio, tipica della responsabilità civile.
I danni punitivi sono un istituto elaborato dal diritto privato inglese intorno al XII sec. ed oggi ampiamente riconosciuta anche in Italia grazie all’innovativa sentenza della Corte di Cassazione Sez. Un. n° 16601 del 5 luglio 2017.
La Corte di Cassazione, sotto tale profilo ha statuito i seguenti principi.
L’accoglimento della prospettata questione di costituzionalità consentirebbe, nel caso di specie, di riconoscere alla ricorrente una tutela compensativa del reale pregiudizio subito, che sarebbe in tal
caso costituita dalla tutela di cui all’art. 18, commi 4 e 7 (in subordine, comma 5) della legge n. 300/1970 come modificata dalla legge n. 92/2012; e di porre un rimedio (latamente sanzionatorio oltre che compensativo) al comportamento della odierna convenuta che evidentemente ha inteso lucrare il beneficio contributivo assumendo una lavoratrice di cui poi si è sbarazzata con un licenziamento pseudomotivato.
L’opzione interpretativa di conformità consistente nell’ampliare la sfera applicativa della tutela reintegratoria piena con riferimento agli “altri casi di nullità previsti dalla legge”, superando quell’orientamento (a livello nazionale tuttora maggioritario) che esige la dimostrazione, da parte del lavoratore, del motivo illecito determinante la condotta del datore di lavoro (art. 1345 c.c.) appare una forzatura interpretativa (consentita solo se la Corte costituzionale adita dovesse indicare tale via con una pronuncia interpretativa di rigetto del quesito): tale opzione nella sostanza si risolverebbe in una equiparazione fra licenziamento ritorsivo, ovvero in frode alla legge, e licenziamento (gravemente, ma solamente) ingiustificato. In assenza di riscontro nelle conclusioni del ricorso, essa appare anche, nel caso di specie, contrastare col principio che la causa petendi dell’azione proposta dal lavoratore per contestare la validità e l’efficacia del licenziamento va individuata nello specifico motivo di illegittimità dell’atto dedotto nel ricorso introduttivo (cfr. da ultimo Cass. sez. lav. n. 7687/2017), per cui appare viziata da ultrapetizione, in ipotesi, la declaratoria di nullità del licenziamento in quanto ritorsivo, sia pure sulla base di circostanza emergenti dagli atti, allorché il ricorrente abbia dedotto soltanto la mancanza di giusta causa (cfr. Cass. sez. lav. n. 19142/2015).
Le sanzioni e la normativa nazionale in tema di risarcimento danno (PARTE II)
Il principio che anima la categoria giuridica dei c.d. danni punitivi è quello secondo cui: a seguito della condanna, al danneggiante viene imposto di elargire al colpevole, attraverso il risarcimento c.d. punitivo, il pagamento di una somma di denaro superiore a quella effettivamente necessaria a ripristinare l’equilibrio delle situazioni soggettive tra il danneggiato e il danneggiante, ottenendo un evidente uno scopo meramente afflittivo.
E’ senza dubbio un compito molto gravoso quello affidato dal Regolamento all’Autorità di controllo, (in Italia: l’Autorità Garante per la Protezione dei Dati Personali), organo deputato proprio a infliggere le sanzioni previste dal nuovo Regolamento europeo.
Ai “Garanti privacy” è invero esplicitamente conferito il potere di imporre sanzioni amministrative, il cui importo pecuniario massimo predeterminato si presenta particolarmente ingente e per la cui applicazione devono rispettarsi appositi criteri per individuare la sanzione più opportuna ed efficace rispetto ad ogni singolo caso in esame.
Un quadro sanzionatorio complesso e molto articolato, di cui diviene fondamentale apprenderne la portata per una adeguata valutazione economica dei rischi di non conformità, il quale si compone non solo di sanzioni pecuniarie amministrative ma anche di altri tipi di provvedimenti, rappresentati dalle misure ritenute idonee e imposte dall’ Autorità di controllo nell’ambito dei suoi poteri di indagine e di correzione (art. 58 GDPR).
Tra questi poteri si annovera, per esempio, la possibilità di limitare o vietare un trattamento. Diventa pertanto facilmente intuibile per il lettore percepire come le conseguenze economiche per la violazione di una azione indicata dall’art 58 del Regolamento potrebbero rivelarsi anche più preoccupanti di quelle derivanti dall’imposizione di una sanzione amministrativa. Si prenda in esame il caso di un provvedimento emesso dall’Autorità di controllo avente come contenuto l’impossibilità di effettuare un determinato trattamento; ciò potrebbe comportare la sospensione dell’erogazione di un servizio verso determinati clienti, con la possibilità che l’azienda ritenuta colpevole possa subire ogni possibile iniziativa legale da parte di questi ultimi, mettendo a rischio la sopravvivenza stessa dell’azienda incolpata.
Per dare concretezza a quanto appena affermato attraverso “i numeri” stabiliti dal legislatore europeo, si evidenza, per esempio, che l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’art. 58, par. 2 (poteri correttivi), o il negato accesso in violazione dell’art. 58, par. 1 (poteri di indagine) comporta sanzioni pecuniarie fino a 20 milioni di euro, (o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). La medesima sanzione è prevista anche in caso di violazione delle prescrizioni del Regolamento in materia di: principi base in tema di espressione e documentazione del Consenso, principi in tema di correttezza e liceità dei trattamenti, diritti degli interessati (tra cui la Portabilità dei dati ed il Diritto all’oblio), trasferimenti transfrontalieri di dati, rispetto degli ordini e provvedimenti emessi dal Garante privacy, comunicazione di Data Breach agli interessati, rispetto di specifici divieti di trattamenti, rispetto degli obblighi per specifici casi di trattamento (come quelli che riguardano i dati dei lavoratori nell’ambito di un rapporto lavorativo.).
Oppure, si prenda nota del fatto che l’inosservanza dell’obbligo a carico del titolare e del responsabile del trattamento di cooperare con l’Autorità di controllo previsto dall’art. 31 (nei confronti del Titolare o del Responsabile del trattamento o del loro rappresentante) può comportare sanzioni GDPR pecuniarie fino a 10 milioni di euro, (o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). La stessa sanzione è parimenti da comminarsi in caso di violazione delle prescrizioni in materia di: Consenso dei minori, Sicurezza e disclosure di Data Breach, Accountability, rispetto dei principi di Privacy by Design e Privacy by Default, Consultazione Preventiva del Garante privacy, adempimenti in generale del Titolare del Responsabile e del Rappresentante, Valutazione di impatto, Data Protection Officer (rispetto delle prescrizioni che riguardano le Certificazioni).
Da quanto affermato, evidente come – con riferimento alla portata massima delle sanzioni pecuniarie – le stesse si differenzino sia in base alla natura del trasgressore (vale a dire se si tratta di persona fisica o impresa) sia in virtù della tipologia della prescrizione violata.
Le sanzioni e la normativa nazionale in tema di risarcimento danno (PARTE III)
Prima approfondire l’impianto sanzionatorio di carattere pecuniario instaurato dal GDPR, doveroso precisare che il Regolamento UE prevede, all’art. 82, una responsabilità risarcitoria civile da “danno da trattamento” cui va il merito, rispetto all’art. 15 del nostro Codice Privacy, di codificare meglio il tipo di danno risarcibile. Viene infatti stabilito, in maniera più dettagliata, che ha diritto di ottenere il risarcimento del danno, da parte del titolare del trattamento (o dal responsabile), il soggetto che subisce un danno materiale o immateriale derivante dalla violazione del Regolamento stesso
Si ricorda al lettore che ai sensi dell’art 82 GDPR “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro.
L’art. 15 del D.lgs n. 196/2003 invece prescrive che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11.” Fondamentale è inoltre evidenziare la previsione di una responsabilità solidale tra il titolare del trattamento o il responsabile del trattamento, chiamati in solido a rispondere per l’intero ammontare del danno.
Il Regolamento, conseguentemente, prevede, il diritto di rivalsa di chi abbia pagato l’intero risarcimento del danno, nei confronti di altri titolari del trattamento o responsabili del trattamento nel limite della quota corrispondente alla loro parte di responsabilità per il danno.
Per quanto riguarda i criteri generali di applicazione delle sanzioni amministrative, l’art. 83 GDPR precisa che quelle di natura pecuniarie, devono risultare in concreto: effettive, proporzionate e dissuasive. Nei singoli casi, l’Autorità garante può decidere se applicare le sanzioni amministrative pecuniarie in aggiunta alle misure di carattere prescrittivo, interdittivo o al posto di tali misure .
Ad esempio, in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria.
Come già precisato, l’Autorità di controllo nel comminare le sanzioni amministrative ha l’obbligo di tenere conto di determinati indici. Gli elementi da valutare in concreto nella decisione, anche in relazione all’ammontare della sanzione, sono i seguenti: la natura, gravità e durata della violazione, l’elemento soggettivo (dolo o colpa), le ipotesi di un’eventuale recidiva, l’oggetto della violazione, le misure adottate dal trasgressore per prevenire o attenuare le conseguenze della violazione stessa, il grado della sua cooperazione con il Garante privacy, l’adesione a codici di condotta o a percorsi di certificazione. E in caso di plurime violazioni? Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento (o un responsabile) viola, con dolo o colpa, più disposizioni del Regolamento UE, l’importo totale della sanzione amministrativa pecuniaria non potrà superare l’importo specificato per la violazione più grave.
Si svolga, infine, una breve nota in punto di sanzioni GDPR di carattere penale (art. 84 GDPR).
Ai sensi di tale prescrizione, gli Stati membri stabiliscono le norme relative alle altre sanzioni GDPR per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni GDPR devono essere effettive, proporzionate e dissuasive. Con riferimento a tale categoria di sanzioni GDPR, è noto che il Diritto Comunitario non può prevederne, essendo la materia penale riservata alla sola competenza nazionale propria di ciascun Stato Membro. Gli Stati membri possono quindi stabilire disposizioni relative a sanzioni penali per violazioni del GDPR, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento stesso. Interessante, sotto questo profilo, sarà verificare – in sede di abrogazione del Codice della privacy – come sarà trattata l’attuale disciplina di cui all’art. 167 e ss. che prevede il reato di trattamento illecito di dati personali. Qualora si optasse per il mantenimento dell’attuale quadro sanzionatorio per gli illeciti penali delineato dal legislatore nazionale, suo compito imprescindibile sarà quello di svolgere interventi manutentivi di adeguamento della suddetta normativa in funzione degli innovativi obblighi previsti dal nuovo Regolamento UE.