In attesa del testo ufficiale tradotto in italiano del Regolamento Europeo possiamo, per ora, tracciare alcune brevi riflessioni sul nuovo apparato sanzionatorio amministrativo, come delineato dall’art. 79.

Sebbene si sostenga che le sanzioni in oggetto dovranno essere introdotte nell’ordinamento interno da parte del Legislatore nazionale, non può negarsi che esse appaiono, sin d’ora, gravemente afflittive.

Si parla, infatti, di sanzioni pecuniarie con massimi edittali da 10 a 20 milioni di euro e potenziale incidenza sul fatturato delle imprese sino al 4%.

Tale annotazione numerica, che può sembrare una banale analisi del testo normativo, ha importanti ripercussioni sulla qualificazione giuridica delle sanzioni introdotte dal Regolamento nella prospettiva della loro concorrenza con quelle penali previste dall’ordinamento nazionale.

A prescindere dalla nomenclatura utilizzata dal Legislatore europeo, infatti, l’apparato sanzionatorio predisposto dal Regolamento appare qualificabile, nella sostanza, come penale; con una serie di conseguenze di non poco conto sulla responsabilità di imprese, amministratori e dipendenti di società, consulenti DPO.

Ciò interessa perchè possiamo sostenere, a ragion veduta, che il controller o il processor del trattamento dei dati personali non possano essere puniti, per la medesima condotta violativa della normativa privacy, sia con la sanzione cd. amministrativa sia con la sanzione penale. A tal proposito basta riportarsi alla consolidata giurisprudenza della Corte Europea dei Diritti dell’Uomo e della Corte di Giustizia dell’Unione Europea sul principio del ne bis in idem.

Qualche questione ulteriore può sorgere con riferimento ai casi ove, per il medesimo fatto, la sanzione amministrativa sia comminata ad una persona giuridica e la sanzione penale, com’è ovvio, sia invece irrogata alla persona fisica.

Ma non è questa la sede per l’approfondimento.

Ci basta rilevare che anche il Legislatore comunitario pare avvedersi della sostanziale qualificazione penalistica dell’apparato sanzionatorio previsto dal Regolamento, richiedendo al Legislatore nazionale, che dovrà intervenire in sede di recepimento, di predisporre adeguate garanzie procedurali, tipiche del processo giurisdizionale penale, a presidio dei diritti civili del controller e del processor.

In conclusione, è evidente che il sistema sanzionatorio privacy è stato concepito perseguendo una finalità di prevenzione generale, ovverosia con l’intento ben preciso di far dissuadere le imprese dall’accettazione del rischio di non essere compliant con la normativa.

Motivo per cui, forse, il Legislatore comunitario ha ritenuto necessario concedere un periodo transitorio biennale affinchè le imprese possano concretamente ed effettivamente adeguarsi ai presidi organizzativi e procedurali previsti dal Regolamento.

E si badi che la dimostrazione di aver posto in essere misure idonee ad evitare violazioni dolose della normativa ovvero ad attenuare il danno subito dagli interessati ovvero, ancora, ad autodenunciare la violazione nell’ottica di uno spirito di collaborazione in buona fede con le autorità, comporta la possibilità di attenuare significativamente gli importi delle sanzioni, pure in applicazione del principio di proporzionalità.

Oltre all’evidente necessità di una imponente ed incessante attività di compliance aziendale, sorge la necessità che le imprese si attrezzino per assicurare il rischio di violazione della normativa privacy, e che altrettanto facciano gli amministratori di società, in quanto titolari del trattamento, nonchè i soggetti che professionalmente operano od opereranno come DPO.

A margine del tema sanzionatorio rimangono, altrettanto importanti, quello reputazionale e quello del risarcimento integrale del danno occorso agli interessati.

Per il vero quest’ultimo tema appare, nel nostro ordinamento e nella prassi giudiziaria, il meno significativo, scontando la costosa complessità dell’accesso dell’interessato alla giustizia e la difficoltà di determinare, come richiesto dalla giurisprudenza, quantomeno criteri idonei ad un’equa quantificazione giudiziale del danno patito.

Avv. Adriano Travaglia, Salomone & Travaglia Studio Legale - Direttore AFGE - travaglia@afge.eu