di Studio Legale Associato Fioriglio-Croari 23 Febbraio 2018, 14:00
I rischi cui si va incontro in caso di violazione del Regolamento sono alquanto rilevanti e sottovalutare gli obblighi previsti dal GDPR potrebbe costare ben caro alle imprese inadempienti.
Eventuali violazioni delle disposizioni del Regolamento, così come una sua applicazione inesatta o parziale, comportano infatti rilevanti conseguenze, sia sul piano economico sia su quello delle attività effettuate.
Intanto, si deve partire dal presupposto che il Regolamento rafforza i diritti degli interessati e cerca di rendere più efficace gli strumenti a loro disposizione per la tutela di tali diritti nella realtà quotidiana. I titolari, da questo punto di vista, devono attenersi a principi di trasparenza e di semplificazione e rendere ogni informazione attinente ai dati personali oggetto di trattamento disponibile agli interessati, anche agevolando loro l’accesso a tali informazioni (in primo luogo, ponendo la massima attenzione ad una corretta informativa e alla corretta gestione dei dati).
Dalle maggiori garanzie e dalla efficace tutela che il GDPR vuole riconoscere ai diritti degli interessati, consegue, sul piano dei rischi concreti per i titolari, in caso di violazioni del Regolamento, innanzitutto, la possibilità che gli interessati, che ritengano di aver subito una lesione del proprio diritto alla protezione dei dati personali, facciano valere il diritto ad ottenere il risarcimento integrale dei danni subiti (ai sensi dell’art. 82 GDPR). Ciascun titolare infatti è direttamente responsabile civilmente per i pregiudizi, materiali e immateriali, causati agli interessati da un trattamento illecito o scorretto di dati personali dallo stesso effettuato.
In secondo luogo, viene in rilievo l’attività di controllo del Garante per la protezione dei dati personali e i poteri sanzionatori ad essi attribuiti. Tale Autorità, singolarmente e in sinergia con le altre Autorità interne di ciascuno Stato membro, è incaricata di vigilare sulla corretta applicazione del Regolamento e di assicurarne la piena attuazione. Per svolgere correttamente e con efficacia tali compiti, il Garante può intervenire nei confronti dei titolari e dei responsabili dei trattamenti ogni qualvolta sospetti la presenza o riscontri delle concrete violazioni della normativa. A tal fine, l’Autorità Garante è dotata, in forza del Regolamento, del potere di effettuare indagini e di quello di infliggere sanzioni, di tipo inibitorio, correttivo e pecuniario nei confronti dei titolari che abbiano posto in essere violazioni delle disposizioni del GDPR o ne abbiano applicato parzialmente o in modo inesatto la disciplina.
Si tratta di sanzioni che il GDPR pretende debbano essere sempre effettive, proporzionate e dissuasive, richiedendo pertanto a ciascuno Stato membro di valutare le soluzioni più efficaci per assicurare e garantire concretamente tale risultato.
Vero è che le sanzioni applicabili dai Garanti possono variare enormemente, passando da semplici ammonimenti, a ordini di sospensione di flussi di dati o di attività di trattamento, fino all’inflizione di sanzioni pecuniarie del valore anche di 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
La scelta delle misure appropriate da applicare caso per caso è rimessa alle Autorità di controllo con lo scopo primario di garantire, appunto, una reazione effettiva, dissuasiva e proporzionata alle violazioni effettuate dai titolari. Dovranno sicuramente avere rilevanza la natura, la gravità e la durata delle violazioni, nonché la quantità dei dati personali coinvolti, le finalità di utilizzo dei dati, il carattere intenzionale o colposo della condotta, e così via. Inoltre, ciascuno di tali elementi andrà rapportato con il particolare ambito di riferimento, ad esempio, al numero di utenti di un servizio o alla popolazione di uno Stato, oppure, ancora alla tipologia di dati trattati. È evidente, però, che alcuni interventi chiarificatori al riguardo, da parte dei legislatori interni e delle stesse Autorità Garanti, sono indispensabili per determinare come verranno realmente gestiti tali poteri sanzionatori a seconda di ciascuno specifico contesto di riferimento.
A prescindere dalle indicazioni pratiche che saranno fornite, peraltro, va considerato che su questi aspetti il GDPR prevede una disciplina molto più stringenti rispetto a quella del Codice della Privacy e che non potrà essere trascurata o elusa dalla regolamentazione di dettaglio. Si pensi, a titolo esemplificativo (approfondiremo poi in apposita sede tali aspetti), che la sanzione massima pecuniaria sopra citata può essere applicata anche in caso di violazione dei principi base del trattamento, tra cui quelli di liceità, correttezza, trasparenza, limitazione delle finalità, e quelli relativi alle condizioni per il rilascio del consenso.