10/10 Inadempienze o mancanze: quali sono le sanzioni?

Uno degli aspetti più innovativi del Regolamento, e più delicato per chi dovrà rispettarlo, sono le sanzioni. La direttiva del 1995 rimetteva agli Stati membri di stabilire le sanzioni per le violazioni delle norme sulla riservatezza. Nel Codice della riservatezza del 2003 le sanzioni erano per lo più definite per illeciti puntuali – ad esempio omissioni d’informativa, trattamenti senza consenso ecc. – e, di regola, avevano singolarmente un valore non elevatissimo che cominciava a crescere solo quando fossero coinvolte intere banche dati o nel caso di violazione degli obblighi sul «data breach», la violazione dei dati personali. Vi erano poi alcune sanzioni penali.

Il Regolamento contiene un proprio sistema di sanzioni pecuniarie che sono applicabili sia a illeciti puntuali sia a disfunzioni organizzative considerate nel loro insieme, come ad esempio, un modello aziendale non rispettoso dei principi generali sul trattamento o difetti di gestione dei rapporti con i responsabili del trattamento.

Questo evita alcune incongruenze del sistema precedente, che operava più per cumulo di sanzioni minute (come una sanzione per ogni caso di omessa informativa). Al contempo, nel nuovo sistema le sanzioni possono arrivare a somme ben più elevate perché, coerentemente all’impostazione di fondo, sono calcolate sul fatturato complessivo dell’impresa e, a certe condizioni, su quello del gruppo di appartenenza, secondo la stessa logica del diritto antitrust Ue. I massimali variano dal 2% al 4% del fatturato mondiale, in relazione alle norme violate.

Non finisce qui. Il Regolamento demanda ai diritti nazionali di definire le «altre sanzioni», per le violazioni che esso già non sottopone a sanzioni pecuniarie, e di stabilire se le sanzioni possano essere applicate anche ai soggetti pubblici. La legge di delegazione europea n. 163/2017 contiene al riguardo un criterio generico e l’ultima bozza di decreto delegato prevede sia altre sanzioni amministrative, dichiarate applicabile anche ai soggetti pubblici, sia sanzioni penali.

Nella primissima fase di applicazione del regolamento, potrebbe esserci un approccio più “morbido” nell’applicazione delle sanzioni, almeno nei casi frutto di semplice negligenza. A mano che la consapevolezza degli obblighi derivanti dal regolamento si diffonda, le sanzioni potrebbero farsi più gravi.

Occorrerà poi mettere in conto il risarcimento del danno da azioni private. Quasi ogni violazione alle norme del Regolamento potrebbe tradursi in illeciti risarcibili. In più, il Regolamento ammette espressamente, rimettendo però la scelta alle norme nazionali, azioni portate avanti mediante enti esponenziali (articoli 81 e 82), che potrebbero di fatto divenire di tipo collettivo. Se la normazione italiana dovesse esercitare questa facoltà, il rischio di azioni per danni potrebbe crescere di molto.

© Riproduzione riservata