Background

Lo scorso 3 Ottobre 2017, il Gruppo di lavoro Articolo 29 (“WP29”), formato dalle autorità Garanti per la protezione dei dati personali, ha adottato le Linee Guida sull’applicazione e l’interpretazione delle sanzioni amministrative previste dal Regolamento Europeo 679/2016 (“Linee Guida”).

Le Linee Guida sono rivolte alle autorità di controllo nazionali al fine di assicurare la corretta applicazione del Regolamento Generale sulla Protezione dei Dati (“Regolamento” o “RGPD”). In particolare, in considerazione della fondamentale rilevanza delle sanzioni amministrative nella nuova disciplina europea, esse mirano a chiarire le modalità attraverso cui applicare le sanzioni.

In tali Linee Guida, il WP29 – nel suo nuovo ruolo di Comitato Europeo per la Protezione dei Dati (“CEPD”) – esprime la propria interpretazione unitaria sulle previsioni di cui all’art. 83 del Regolamento, da leggere in combinato disposto con gli articoli 58 e 70 dello stesso. Ciò al fine di fornire raccomandazioni e pratiche consigliate relativamente all’applicazione della nuova disciplina, e fissare i criteri di interpretazione delle sanzioni amministrative in linea con quanto previsto dagli artt. 70, comma 1 lett. e) e k) del Regolamento.

Questioni principali

Le sanzioni amministrative, come tutte le misure correttive in generale, sono considerate uno strumento fondamentale che dovrebbe essere utilizzato in circostanze appropriate al fine di rispondere adeguatamente alla natura, alla gravità ed alle conseguenze di una violazione. L’autorità di controllo interessata dovrebbe infatti imporre sanzioni che siano effettive, proporzionate e dissuasive così come previsto dall’art. 83 RGPD. Inoltre, allorquando sia necessario identificare un’impresa, l’autorità potrà utilizzare la relativa definizione così come sancita dalla Corte di giustizia nei Casi 217-05 e C-170/83(“un’unità economica dal punto di vista dell’oggetto dell’accordo, anche se sotto il profilo giuridico quest’unità economica è costituita da più persone, fisiche o giuridiche”).

Nella duplice valutazione relativa all’opportunità di irrogare una sanzione e l’ammontare della stessa, l’autorità di controllo dovrebbe utilizzare i criteri elencati all’art. 83.2 del Regolamento, avendo cura di considerare tutte le circostanze di ogni singolo caso come precisato dai Considerando 129 e 141 RGPD e nel summenzionato articolo 83.2 del Regolamento: la natura, la durata e la gravità della violazione, il numero di interessati coinvolti, la finalità del trattamento e l’eventuale lesione dei diritti degli interessati. Altri importanti criteri che dovrebbero essere considerati riguardano le modalità attraverso cui l’autorità di controllo viene a conoscenza della violazione e il grado di collaborazione con l’autorità stessa, l’assenza di violazioni precedenti da parte del titolare o del responsabile, e le categorie di dati personali interessati dalla violazione (dati direttamente o indirettamente identificabili).

Gli artt. 83.4 e 83.6 RGPD fissano due differenti massimali per l’irrogazione di una sanzione amministrativa: 10 milioni di euro (nel caso delle imprese, il 2% del fatturato mondiale annuo dell’anno precedente) e 20 milioni di euro (nel caso delle imprese, il 4% del fatturato mondiale annuo dell’anno precedente). Ciononostante, l’autorità di controllo competente potrà sempre decidere se, in casi particolari, sia necessario applicare una misura correttiva superiore o inferiore sotto forma di sanzione.

Inoltre, con riferimento all’incidenza di una violazione, l’autorità di controllo interessata dovrà valutare l’intenzionalità – ad es. trattamenti illeciti autorizzati esplicitamente dalle funzioni apicali – o la negligenza – ad es. errore umano, errore nell’applicazione di aggiornamenti tecnici – della violazione, nonché se sono state intraprese azioni da parte del titolare o del responsabile per mitigare il danno sofferto dagli interessati.

Al fine di conformarsi al principio di responsabilizzazione il titolare o il responsabile, in caso di violazione, dovrebbero dimostrare di aver implementato idonee misure tecniche di sicurezza in linea con l’art. 32 del Regolamento e nel rispetto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita indicati dall’art. 25 RGPD.

Infine, un’ulteriore modalità per dimostrare la propria conformità alla nuova disciplina europea potrà essere costituita dall’adesione a codici di condotta riconosciuti.

Implicazioni pratiche

Le autorità di controllo dovranno assicurare la conformità al Regolamento attraverso tutte le misure correttive a disposizione. Tali autorità avranno il compito di scegliere le modalità più appropriate per perseguire il rispetto della nuova disciplina europea, che potrebbero includere anche sanzioni penali a livello nazionale ove previste dallo Stato membro di riferimento.

Il CEPD raccomanda la creazione di un sottogruppo permanente (ad esso riferibile) per supportare le attività di scambio di informazioni in merito alle casistiche affrontate, che potrebbero migliorare la coerenza interpretativa ed applicativa del Regolamento nei diversi Stati membri.

Dal punto di vista imprenditoriale, le aziende – siano esse titolari o responsabili – dovranno prestare particolare attenzione a:

  • implementare misure tecniche e organizzative per assicurare che il trattamento dei dati sia posto in essere in modo conforme alla nuova disciplina europea (con particolare riferimento agli artt. 25 e 32 del Regolamento);
  • predisporre un Modello Organizzativo Privacy adeguato, definendo politiche e procedure chiare ed attuabili al fine di osservare il principio di responsabilizzazione e prevenire violazioni del Regolamento;
  • formare la propria forza lavoro al fine di consentire una migliore comprensione del Regolamento e dei loro rilevanti compiti così da assicurare il rispetto del medesimo.