Quali sono i rischi della mancata compliance alla disciplina in materia di protezione dei dati personali? Rispondere a questa domanda non è banale, in un contesto caratterizzato da una disciplina nazionale complessa e frammentata, sulla quale il GDPR si è instaurato.
Ciò che è certo è che le conseguenze del mancato adeguamento vanno oltre le sanzioni economiche previste dal Regolamento e che si rende necessaria una visione d’insieme che tenga conto di aspetti ulteriori e, spesso, ignorati.
Seppure il GDPR sia direttamente applicabile negli Stati membri, è imprescindibile il suo coordinamento con la disciplina interna, la quale continua a regolare alcuni aspetti quali, a esempio, il risarcimento dei danni agli interessati ed eventuali conseguenze penali.
Le controversie in materia di trattamento dei dati personali sono quindi demandate solo in parte alla competenza dell’Autorità Garante, la quale decide sull’applicabilità delle misure di cui al GDPR, mentre gli aspetti legati al risarcimento dei danni e alle conseguenze penali sono di rispettiva competenza della giurisdizione civile e di quella penale.
Indice degli argomenti
Le sanzioni inflitte dal Garante
A più di un anno dalla piena applicabilità del GDPR, è ormai noto che la violazione della disciplina europea in materia di protezione dei dati personali può portare conseguenze economiche gravi ai Titolari e ai Responsabili non compliant. Lo spauracchio delle nuove e pesanti sanzioni ha trovato la sua utilità nella sensibilizzazione generale al tema della protezione dei dati ma a una più attenta analisi della realtà dei fatti il problema delle sanzioni economiche potrebbe essere, a oggi, marginale.
Sulla base della nuova disciplina, il Garante per la protezione dei dati, che in quanto autorità amministrativa indipendente dovrebbe essere caratterizzato da una certa rapidità nelle decisioni, ha comminato una sola sanzione dell’importo di appena 50mila euro a seguito di un processo decisionale durato più di due anni e di complesse indagini e plurimi ultimatum al trasgressore.
Sia per il numero sia per l’importo complessivo delle sanzioni comminate dalle autorità di controllo, l’Italia si conferma tra i fanalini di coda rispetto agli altri paesi europei.
La scarsa incisività odierna del sistema di sanzioni economiche predisposto dal GDPR potrebbe indurre le aziende italiane a rallentare le procedure di adeguamento, ma non dobbiamo farci ingannare.
Vale la pena ricordare che il Garante ha, tra gli altri, il potere di imporre la limitazione dei trattamenti, incluso il divieto di trattamento, e di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale. È chiaro come l’adozione di queste misure potrebbe comportare un totale blocco operativo di quelle imprese per le quali il trattamento dei dati personali rappresenta il core business.
Oltre a questo, come già anticipato, il Garante non è l’unica autorità coinvolta nel momento in cui vi siano problematiche relative al trattamento dei dati, essendo per alcuni aspetti inevitabile l’intervento dell’autorità giudiziaria.
Il risarcimento dei danni
Per quanto riguarda gli aspetti civilistici, e in particolare il risarcimento del danno, è lo stesso art. 82 paragrafo 6 del GDPR che stabilisce che l’unico rimedio esperibile sia il ricorso innanzi ai giudici degli Stati membri.
A questo proposito, dobbiamo ricordare che l’art. 140-bis del Codice per la protezione dei dati (Codice Privacy, D.lgs. 196/2003) stabilisce che l’interessato, ove ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, può scegliere alternativamente di proporre reclamo al garante oppure di procedere attraverso il classico ricorso giurisdizionale.
Pertanto, in Italia la presentazione del reclamo esclude la possibilità di ricorso, e viceversa. Quindi come può muoversi l’interessato?
Il ricorso al garante è un mezzo gratuito, semplice e veloce per coloro che vogliano mettere in moto la macchina degli accertamenti nei confronti di un titolare o responsabile del trattamento. Infatti, il reclamo può essere presentato compilando un semplice modulo messo a disposizione dallo stesso Garante e inviato a mezzo raccomandata o PEC. Inoltre, il Garante “decide il reclamo entro 9 mesi dalla data di presentazione”.
Gli interessati che mirino al risarcimento dei danni, invece, dovranno necessariamente armarsi di un buon avvocato e della pazienza di attendere l’esito di un più costoso, lungo e complesso procedimento civile.
A ogni modo, va ricordato che il Garante è comunque informato dei giudizi di cui non è parte e formula osservazioni (art. 10.9 D.lgs. 150/2011).
Tutto ciò posto, sembrerebbe che coloro che abbiano scelto la più agile via del reclamo all’Autorità garante si vedano preclusa la possibilità successiva di agire in sede giurisdizionale per ottenere il risarcimento del danno: ciò non è corretto.
Già nel 2017 la Cassazione ha riconosciuto che l’interessato che riceva una decisione favorevole dal Garante ha la possibilità di agire successivamente in sede civile per il risarcimento dei danni, e che il provvedimento del Garante ha il valore di una “prova privilegiata” per l’accertamento della violazione da parte del giudice (Cass. Civ. 13151/2017).
Titolari e responsabili non dovrebbero quindi sottovalutare il rischio derivante dalla possibilità di “ricorsi a tappeto”, in quanto una decisione sfavorevole del Garante nei loro confronti non solo è in grado di comprometterli inesorabilmente in sede civile, ma costituisce un incentivo per tutti quegli interessati che vogliano ricorrere in giudizio per ottenere il risarcimento dei danni.
Conseguenze penali: le fattispecie
Un altro aspetto talvolta trascurato è quello della responsabilità penale che potrebbe derivare dal trattamento dei dati personali. Il Codice Privacy prende in considerazione varie fattispecie agli artt. 167 e ss., le quali potrebbero trarre in inganno un lettore poco attento. Localizzando adeguatamente i richiami effettuati da tale normativa possiamo notare quanto sia facile incorrere in una sanzione penale pur senza averne coscienza.
Mettendo per un attimo a lato i reati di cui al 167 e al 167-bis, rispettivamente “Trattamento illecito di dati” e “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, i quali non pongono particolari problemi interpretativi e che in linea di massima potrebbero riguardare, se vogliamo, una ridotta platea di titolari e responsabili, i reati nei quali molti potrebbero inconsapevolmente incorrere sono quelli di cui agli artt. 168, 170 e 171 dello stesso Codice.
In breve, il citato art. 168 prevede la pena della reclusione per tutti coloro che, nel corso di un procedimento o di accertamenti posti in essere innanzi al Garante, dichiarino il falso, producano documenti falsi o intenzionalmente cagionino l’interruzione o la turbativa del procedimento in questione.
Dichiarare il falso in sede di accertamento o tentare di ostacolare gli accertamenti dell’autorità non è mai una buona idea, né per i titolari, né per i responsabili del trattamento, né per gli autorizzati. Ebbene sì, anche gli autorizzati potrebbero incorrere in questo tipo di responsabilità penale: è fondamentale che gli autorizzati siano adeguatamente formati, in quanto le procedure di accertamento potrebbero essere attuate in assenza del Titolare o del Responsabile del trattamento. Ove essi dichiarassero il falso, la responsabilità penale graverebbe in capo a essi, ma le sanzioni amministrative comminate dal Garante si abbatterebbero inesorabilmente sul Titolare o sul Responsabile.
L’art. 170 del Codice per la protezione dei dati personali rappresenta un’altra sottostimata fonte di pericolo. Esso prevede la pena della reclusione per coloro che non rispettino un provvedimento con cui il Garante dispone la limitazione del trattamento, così come per coloro che trattino dati genetici, biometrici e relativi alla salute fuori dai casi di cui al 9.2 GDPR e in conformità alle misure di garanzia disposte dal Garante stesso e stabilisce la stessa pena per coloro i quali, essendovi tenuti, non rispettino “i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163”. Tali provvedimenti non sono altro che le 5 Autorizzazioni Generali del Garante sottoposte a verifica e ritenute compatibili con l’odierno impianto normativo, le quali assumono un ruolo diverso rispetto agli altri provvedimenti del Garante, ponendosi come condizioni di liceità del trattamento.
In conclusione, ad oggi, anche il mancato rispetto delle previsioni di cui alle Autorizzazioni generali n. 1/2016 (trattamento dei dati sensibili nei rapporti di lavoro), n. 3/2016 (trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni), n. 6/2016 (trattamento dei dati sensibili da parte degli investigatori privati), n. 8/2016 (trattamento dei dati genetici) e n. 9/2016 (trattamento dei dati personali effettuato per scopi di ricerca scientifica) può essere fonte di responsabilità penale.
Una breve menzione merita anche l’art. 171 del Codice, il quale punisce, come noto, eventuali violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. Prestino quindi particolare attenzione tutti quei titolari o responsabili che si servono di impianti audiovisivi.
Conseguenze penali: coordinamento tra Garante e giurisdizione penale
Uno dei principi cardine del diritto penale è il cd. ne bis in idem, cioè il divieto di essere sottoposti a processo o di essere puniti due volte per lo stesso fatto. Nasce quindi il problema del coordinamento delle conseguenze previste dal GDPR e del procedimento innanzi al Garante con le conseguenze penali e il relativo processo.
Oltre al delineare le figure di reato in maniera da sanzionare condotte diverse rispetto a quelle sanzionate dal GDPR, tale coordinamento tra Garante e giurisdizione penale può avvenire in altre forme, ad esempio attraverso meccanismi per la collaborazione tra Garante e Giurisdizione Ordinaria, oppure prevedendo un sistema sanzionatorio che tenga in considerazione le sanzioni già inflitte.
Per quanto riguarda il primo dei sopracitati meccanismi, è previsto che il Garante denunci i fatti configurabili come reati proseguibili d’ufficio (art. 154 comma lett. D del Codice) e che il Pubblico Ministero, quando abbia notizia della commissione dei reati di cui al 167, 167-bis, e 167 ter Cod. Privacy, informi il Garante, al fine di procedere alla trasmissione di eventuale documentazione raccolta durante le proprie attività di accertamento.
Si noti come tale meccanismo potrebbe essere un’arma a doppio taglio, in quanto se da un lato garantisce che i due procedimenti corrano in parallelo, abbreviando così i tempi di pendenza delle decisioni del Garante e del giudice per il Titolare o Responsabile, dall’altro fa sì che ove si apra un procedimento innanzi al Garante, con tutta la facilità della quale abbiamo precedentemente discusso, ove ne ricorrano i presupposti ne derivi certamente una denuncia alle autorità competenti per l’accertamento dei reati.
Per quanto riguarda il coordinamento a livello sanzionatorio, è l’art. 167 comma 6 del Codice a stabilire che ove sia già stata applicata e riscossa una sanzione di cui al GDPR e lo stesso soggetto sia stato condannato anche penalmente, la sanzione penale è diminuita. La quantificazione di tale diminuzione è totalmente demandata giudice penale.
Codice e responsabilità da reato degli enti
Va ricordato che la responsabilità penale per come delineata dal Codice in materia di protezione dei dati personali riguarda le persone fisiche, e non gli enti e/o persone giuridiche.
Infatti, la responsabilità da reato degli enti disciplinata dal D.lgs. 231/2001 prevede che solo in presenza di specifici presupposti una persona giuridica possa essere condannata alle sanzioni di cui agli articoli 9 e 10 dello stesso decreto.
Ai fini della responsabilità da reato della persona giuridica è necessario che una persona fisica legata da rapporto funzionale all’ente commetta a vantaggio dell’ente stesso uno dei reati espressamente indicati agli artt. 24, 24-bis, 25 e 25-quaterdecies del decreto 231 cit., i quali non riportano i sopraindicati reati previsti dal Codice in materia di protezione dei dati personali.
Conclusione
La breve panoramica sopra descritta può dare un’idea di come il GDPR sia una normativa complessa la quale non può prescindere dal coordinamento con il resto del sistema normativo.
Si è visto come eventuali accertamenti innanzi all’Autorità garante per la protezione dei dati personali non comportano solo il rischio di vedersi infliggere le sanzioni di cui al GDPR, ma sono idonee a mettere in moto la lenta ma inesorabile macchina giudiziaria italiana, con tutte le conseguenze civili e penali che potrebbero derivarne.
È consigliabile, quindi, procedere ordinatamente verso la strada della GDPR compliance con lo sguardo proiettato al futuro del proprio business, senza intimorirsi innanzi alle sanzioni di cui all’articolo 83, ma senza sottovalutare il peso che la mancata compliance avrà nel lungo periodo.
