GDPR: il punto sulle sanzioni amministrative e penali

825 Views

Il Presidente dell’Autorità Garante Antonello Soro rassicura: “Non solo sanzioni amministrative ma le reazioni dell’ordinamento alle violazioni sui dati saranno diverse e dovranno seguire un approccio gradualistico congiuntamente o alternativamente alle misure inibitorie e prescrittive.

Ai fini sanzionatori saranno valutati gravita dell’illecito, desunta anche dal danno che ne sia derivato, elemento soggettivo, eventuale ravvedimento operoso o, al contrario, recidiva, categorie di dati interessati dalla violazione, adesione a codici di condotta o sistemi di certificazione, cooperazione con l’autorità di controllo ecc.).

Soro nell’indicare le priorità per aziende ed enti alle prese con i nuovi adempimenti imposti dalla normativa europea pone in cima alla lista la formazione del personale e la sicurezza informatica: “Adempimenti fondamentali, sono un’adeguata formazione del personale, modulata sulla base delle specifiche mansioni di ciascuno, una puntuale ricognizione delle misure di sicurezza, tecniche e organizzative, che dovranno essere adeguate alle caratteristiche del trattamento, una complessiva revisione delle proprie informative per adeguarle all’impostazione più sostanzialistica del Regolamento, nonché la predisposizione delle procedure necessarie ad effettuare, ove ne ricorrano i presupposti, la notifica dei data breach”.

Il Presidente inviata poi tutte le aziende ad avvalersi della figura del Dpo: “al fine di rendere più agevole il processo di adeguamento al Regolamento, è poi opportuno, per le imprese che vi siano tenute ma anche, auspicabilmente, per le altre, nominare il Dpo, che possa indirizzare le scelte aziendali nella direzione della compliance”.

Tutt’altro che facile sarà, invece, il coordinamento tra illeciti penali ed amministrativi quando saranno in vigore GDPR e normativa italiana.

Non solo è stato mantenuto un robusto presidio penale ma esso è stato anche integrato ed implementato. La novità principale riguarda la modifica dell’elemento soggettivo del delitto. Infatti pur rimanendo un delitto di danno l’elemento soggettivo sarà individuato unicamente nella volontà di trarre profitto e non più come in precedenza anche nella volontà di provocare un danno.

Due sono le disposizioni penali di nuovo conio e fanno riferimento al numero rilevante di persone i cui dati possono essere acquisiti o diffusi illegalmente.

I punti più critici riguardano però l’intreccio tra sanzioni penali ed amministrative. Le sanzioni previste dal Regolamento sono fissate infatti solo nel limite massimo, nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro. Per le imprese il regolamento prevede sanzioni fino al 2 o al 4% del fatturato. Un quadro sanzionatorio potenzialmente molto più severo rispetto all’attuale. La previsione del solo limite massimo della sanzione amministrativa pecuniaria attribuisce poi ampi margini di discrezionalità al Garante, chiamato a infliggere le sanzioni.

Rimane poi un ulteriore punto oscuro ovvero quello del ne bis in idem visto che, alcune condotte, dal trasferimento all’estero di dati sensibili, al trattamento di dati giudiziari, al telemarketing, potrebbero rivelarsi suscettibili di una potenziale doppia sanzione. Andrà cioè valutato il peso del possibile nocumento nell’ipotesi base di misura penale ovvero se sia sufficiente la sua previsione per considerare la norma penale come speciale e quindi prevalente in caso di sovrapposizione con quella amministrativa.

In ogni caso, rimane il dubbio su come si muoverà il Garante di fronte a infrazioni. Dovrà evitare di applicare la sanzione e inviare gli atti alla Procura? Oppure dovrebbe essere introdotto un meccanismo di “congelamento” della misura amministrativa in attesa di definizione del versante penale?