Riprendiamo l’esame del Regolamento europeo e delle norme che hanno integrato e modificato il Codice della Privacy italiano, considerando cosa succede in caso di violazioni delle norme contenute nei suddetti testi di legge.
In primo luogo il GDPR stabilisce un principio generale di responsabilità civile ripartita tra titolare e responsabile del trattamento dei dati in tutti i casi di danno prodotto, all’interessato o a terzi, nello svolgimento delle attività connesse al trattamento.
TITOLARE E RESPONSABILE DEL TRATTAMENTO
La responsabilità, in particolare, sarà dell’uno o dell’altro soggetto a seconda delle violazioni commesse: se le norme violate riguardano gli obblighi imposti al titolare sarà questi a rispondere dei danni, mentre ne risponderà il responsabile se l’illecito è stato posto in essere nello svolgimento delle sue funzioni tipiche.
Nell’ipotesi in cui non sia possibile distinguere i livelli di responsabilità, entrambi i soggetti sono ritenuti responsabili in solido dei danni cagionati all’interessato o al terzo, il quale potrà rivolgersi all’uno o all’altro per l’intero ammontare del danno, salvo il diritto di rivalsa di ciascun responsabile nei confronti dell’altro.
Venendo alle sanzioni, GDPR e Codice della Privacy da ultimo modificato prevedono sanzioni amministrative, con l’applicazione di multe al responsabile della violazione, ma anche sanzioni penali.
SANZIONI AMMINISTRATIVE
In particolare, il GDPR, all’art. 83, individua le ipotesi in cui si applicano sanzioni amministrative, sancendo innanzitutto il principio di proporzionalità della pena alla violazione, in considerazione – tra l’altro - della gravità del fatto commesso e della natura colposa o dolosa della trasgressione, nonché di eventuali reiterazioni del comportamento illecito e della collaborazione con il Garante della Privacy, l’autorità di controllo cui compete l’applicazione delle sanzioni.
Per quanto riguarda l’entità delle sanzioni la norma stabilisce che una multa fino ad €10.000 000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente se superiore al predetto importo, nei casi di violazione degli obblighi generali imposti al titolare del trattamento e del responsabile del trattamento e degli obblighi dell'organismo di controllo.
I casi più gravi prevedono sanzioni amministrative pecuniarie fino ad €20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, e sono individuati nella violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, degli obblighi relativi ai i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale, nonché violazione dei provvedimento dell’autorità di controllo.
SANZIONI PENALI
Quanto alle sanzioni penali il GDPR prevede la possibilità, per ogni Stato membro dell’Unione Europea, di applicarle laddove ritenute congrue e proporzionali; alla stregua di ciò l’Italia, con il decreto legislativo n. 101/2018 che ha apportato modifiche al Codice della Privacy, ha disposto l’applicazione di sanzioni penali nelle seguenti fattispecie:
• 167 (Trattamento illecito dei dati): reclusione da uno a sei mesi o da uno a tre anni per le violazioni più gravi;
• 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala): reclusione da uno a sei anni;
• 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala): reclusione da uno a quattro anni;
• 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante): reclusione da sei mesi a tre anni;
• 170 (Inosservanza dei provvedimenti del Garante): reclusione da due mesi a tre anni.