Lun25092017

Ultimo aggiornamento06:43:53

L'apparato sanzionatorio con il Regolamento Europeo

  • PDF

In attesa del testo ufficiale tradotto in italiano del Regolamento Europeo possiamo, per ora, tracciare alcune brevi riflessioni sul nuovo apparato sanzionatorio amministrativo, come delineato dall’art. 79.

Sebbene si sostenga che le sanzioni in oggetto dovranno essere introdotte nell’ordinamento interno da parte del Legislatore nazionale, non può negarsi che esse appaiono, sin d’ora, gravemente afflittive.

Si parla, infatti, di sanzioni pecuniarie con massimi edittali da 10 a 20 milioni di euro e potenziale incidenza sul fatturato delle imprese sino al 4%.

Tale annotazione numerica, che può sembrare una banale analisi del testo normativo, ha importanti ripercussioni sulla qualificazione giuridica delle sanzioni introdotte dal Regolamento nella prospettiva della loro concorrenza con quelle penali previste dall’ordinamento nazionale.

A prescindere dalla nomenclatura utilizzata dal Legislatore europeo, infatti, l’apparato sanzionatorio predisposto dal Regolamento appare qualificabile, nella sostanza, come penale; con una serie di conseguenze di non poco conto sulla responsabilità di imprese, amministratori e dipendenti di società, consulenti DPO.

Ciò interessa perchè possiamo sostenere, a ragion veduta, che il controller o il processor del trattamento dei dati personali non possano essere puniti, per la medesima condotta violativa della normativa privacy, sia con la sanzione cd. amministrativa sia con la sanzione penale. A tal proposito basta riportarsi alla consolidata giurisprudenza della Corte Europea dei Diritti dell’Uomo e della Corte di Giustizia dell’Unione Europea sul principio del ne bis in idem.

Qualche questione ulteriore può sorgere con riferimento ai casi ove, per il medesimo fatto, la sanzione amministrativa sia comminata ad una persona giuridica e la sanzione penale, com’è ovvio, sia invece irrogata alla persona fisica.

Ma non è questa la sede per l’approfondimento.

Ci basta rilevare che anche il Legislatore comunitario pare avvedersi della sostanziale qualificazione penalistica dell’apparato sanzionatorio previsto dal Regolamento, richiedendo al Legislatore nazionale, che dovrà intervenire in sede di recepimento, di predisporre adeguate garanzie procedurali, tipiche del processo giurisdizionale penale, a presidio dei diritti civili del controller e del processor.

In conclusione, è evidente che il sistema sanzionatorio privacy è stato concepito perseguendo una finalità di prevenzione generale, ovverosia con l’intento ben preciso di far dissuadere le imprese dall’accettazione del rischio di non essere compliant con la normativa.

Motivo per cui, forse, il Legislatore comunitario ha ritenuto necessario concedere un periodo transitorio biennale affinchè le imprese possano concretamente ed effettivamente adeguarsi ai presidi organizzativi e procedurali previsti dal Regolamento.

E si badi che la dimostrazione di aver posto in essere misure idonee ad evitare violazioni dolose della normativa ovvero ad attenuare il danno subito dagli interessati ovvero, ancora, ad autodenunciare la violazione nell’ottica di uno spirito di collaborazione in buona fede con le autorità, comporta la possibilità di attenuare significativamente gli importi delle sanzioni, pure in applicazione del principio di proporzionalità.

Oltre all’evidente necessità di una imponente ed incessante attività di compliance aziendale, sorge la necessità che le imprese si attrezzino per assicurare il rischio di violazione della normativa privacy, e che altrettanto facciano gli amministratori di società, in quanto titolari del trattamento, nonchè i soggetti che professionalmente operano od opereranno come DPO.

A margine del tema sanzionatorio rimangono, altrettanto importanti, quello reputazionale e quello del risarcimento integrale del danno occorso agli interessati.

Per il vero quest’ultimo tema appare, nel nostro ordinamento e nella prassi giudiziaria, il meno significativo, scontando la costosa complessità dell’accesso dell’interessato alla giustizia e la difficoltà di determinare, come richiesto dalla giurisprudenza, quantomeno criteri idonei ad un’equa quantificazione giudiziale del danno patito.

Avv. Adriano Travaglia, Salomone & Travaglia Studio Legale - Direttore AFGE - travaglia@afge.eu

 

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:469

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:3198

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1027

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1126

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:1599

Leggi tutto

Multe & Sentenze

Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2017 | | Direttore Responsabile: Nicola Bernardi