Sanzioni e responsabilità

L’attuale disciplina in materia di protezione dei dati personali, riformata dal Regolamento Europeo sulla protezione dei dati personali (GDPR), definisce un complesso quadro di responsabilità e sanzioni per i titolari e responsabili del trattamento.

In tale contesto, bisogna inoltre considerare il nuovo testo Decreto Legislativo 30 giugno 2003, n.196 (il “vecchio” Codice Privacy) come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (pubblicato in G.U. 4 settembre 2018 n.205: in vigore dal 19.09.2018)

Sanzioni Amministrative

L’art. 83 del GDPR distingue due gruppi di sanzioni amministrative.

Il primo gruppo (cfr. paragrafo 4) prevede sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). Tali sanzioni si applicano, in particolare, per le violazioni degli artt. 8, 11, da 25 a 39, 41, 42 e 43 GDPR.

Il secondo gruppo (cfr. paragrafo 5) riguarda violazioni di maggiore gravità, e per le quali le sanzioni possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). In questo le violazioni devono interessare, tra gli altri, i seguenti articoli: 5, 6, 7 e 9; da 12 a 22; da 44 a 49, 58 paragrafi 1 e 2, da 85 a 91.

Si tenga presente, inoltre, che l’ambito di applicazione delle sanzioni amministrative è stata estesa dal nuovo art. 166 Codice Privacy, come modificato dal D.Lgs. 101/2018 (in vigore dal 19.09.2018). Di seguito alcuni esempi.

Le sanzioni previste dall’art. 83, paragrafo 4, del GDPR si applicano, tra gli altri, anche ai seguenti casi: violazione delle prescrizioni sulle modalità di informativa da fornire al minore di età in relazione ai servizi della società dell’informazione (art. 2-quinquies, comma 2); mancata adozione di opportuni accorgimenti che assicurino la comprensibilità dei dati delle cartelle cliniche e la separazione dei dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri (art. 92, comma 1); violazione del provvedimento del Garante riguardante le modalità di utilizzo dei dati personali dei contraenti negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129, comma 2).

Le sanzioni di cui al quinto paragrafo dell’art. 83 GDPR, invece, si applicano – tra gli altri – nei seguenti casi: violazione della base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici potei (art. 2-ter), non valido consenso prestato dal minore di età infraquattordicenne in relazione ai servizi della società dell’informazione (art. 2-quinquies, comma 1); violazione delle misure di garanzia per il trattamento dei dati biometrici con riguardo alle procedure di accesso fisico e logico (art. 2-septies, comma 7); violazione dei principi relativi al trattamento di dati relativi a condanne penali e reati (art. 2-octies), violazione dei diritti riguardanti le persone decedute (art. 2-terdecies, commi 1- 4); violazione delle specifiche condizioni in ambito sanitario, e in particolare mancata adozione delle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute (art. 75).

Il quadro sanzionatorio, tuttavia, è più complesso e articolato di come sopra esemplificato.

Sanzioni Penali

Le sanzioni penali sono definite dagli artt. 167 e seguenti del Decreto Legislativo 30 giugno 2003, n.196 come modificato dal Decreto Legislativo 10 agosto 2018, n. 101.

Ivi si prevedono responsabilità di natura penale per le ipotesi in particolare di: trattamento illecito di dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione nell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.