L’impianto sanzionatorio previsto in caso di violazione delle norme in materia di protezione dei dati personali risulta quale complesso di norme di derivazione sovranazionale combinate con quelle previste dal legislatore italiano. La combinazione di norme di matrice europea e norme nazionali dà vita ad un reticolato sanzionatorio i cui referenti normativi sono da rinvenirsi, rispettivamente, nell’art. 83 del GDPR e nell’art. 163 del D.lgs 196/2003, sopravvissuto alla novella legislativa intervenuta attraverso il D.lgs 101/2018.
Le sanzioni previste in caso di violazione della normativa in materia di protezione dei dati personali sono di duplice natura: sanzioni penali e sanzioni amministrative. Quest’ultime, a loro volta, sono distinguibili all’interno di due sottocategorie: sanzioni amministrative pecuniarie e non pecuniarie.
Il comune denominatore delle diverse tipologie di sanzioni è rinvenibile nei principi generali che devono presiedere all’irrogazione delle sanzioni medesime le quali devono essere effettive, proporzionali e dissuasive.
Considerato, poi, che lo scopo del GDPR è quello di responsabilizzare aziende e professionisti sulla raccolta, l’uso e la conservazione dei dati personali degli interessati, per non rischiare di incorrere in eventuali sanzioni, a prescindere dalla loro natura, è importante che ogni Titolare e Responsabile del Trattamento ponga attenzione su tre adempimenti cruciali, quali: nomina del DPO, adozione delle misure previste in caso di Data Breach, tenuta del registro aggiornato dei Trattamenti.
GDPR Sanzioni penali
L’art. 84 del Regolamento Europeo stabilisce che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento e in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a noma dell’art. 83”. Il legislatore Europeo, pertanto, ha rimesso al legislatore interno la possibilità di stabilire le condotte sanzionabili in caso di violazione del GDPR, nonché la possibilità di prevedere violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento europeo. Anche la previsione di condotte penalmente rilevanti deve rispondere ai principi di effettività, concretezza e dissuasività.
L’attuale sistema sanzionatorio di natura penale deriva dalle precedenti previsioni contenute nel codice privacy del 2003 integrate dalle nuove e ulteriori previsioni introdotte con la modifica intervenuta nel 2018.
Ai sensi del novellato codice privacy 196/2003, le fattispecie sanzionabili sono previste dai seguenti articoli:
- Art. 167 (Trattamento illecito dei dati)
- Art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
- Art.167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
- Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
- Art.170 (Inosservanza dei provvedimenti del Garante);
- Art. 171 (Violazione delle disposizioni in materia di controlli a distanza ed indagini sulle opinioni dei lavoratori)
In ordine alle fattispecie di cui agli artt. 167, 167-bis e 167-ter del Codice Privacy, si segnala come il legislatore italiano abbia ritenuto di estendere la punibilità anche a quelle condotte caratterizzate dall’intento dell’agente di procurare un altrui danno. Tale previsione si pone in termini di novità rispetto alle preesistenti fattispecie la cui punibilità rilevava nel caso in cui il dolo del soggetto agente fosse rivolto a trarre un profitto per sé o per altri.
Va ricordato, inoltre, che le interferenze illecite nella vita privata perpetrate tramite strumenti di ripresa visiva o sonora rappresentano un reato punito con la reclusione da 6 mesi a 4 anni e che la stessa pena ricade anche su chi rivela o diffonde al pubblico notizie o immagini ottenute in tal modo.
GDPR Sanzioni amministrative
Come anticipato in apertura del presente contributo, le sanzioni di carattere amministrativo si distinguono in sanzioni amministrative non pecuniarie e sanzioni amministrative pecuniarie. La distinzione ha ragion d’essere nella gradualità e incisività che deriva dall’irrogazione della sanzione stessa. Soggetto legittimato ad irrogare tale tipologia di sanzioni è l’Autorità di controllo.
Nel novero delle sanzioni amministrative non pecuniarie che l’Autorità può adottare, si riportano, a titolo esemplificativo e non esaustivo, le seguenti: avvertimento, ammonimento, ingiungere al Titolare di conformarsi alle disposizioni del Regolamento nell’effettuare il trattamento ed antro un termine o ingiungere di comunicare all’interessato una violazione dei dati personali; il potere di ordinare la rettifica, la cancellazione dei dati o, ancora, limitare ed inibire, provvisoriamente o definitivamente, un trattamento.
Le sanzioni amministrative pecuniarie
L’art. 83 del GDPR distingue due gruppi di sanzioni amministrative, in relazione all’importo edittale:
- un primo gruppo è quello delle sanzioni considerate di minore gravità che prevedono importi fino a 10.000,000 di euro o, per le imprese, fino al 2% del fatturato Mondiale totale annuo dell’esercizio precedente, se superiore.
- Nel secondo gruppo rientrano sanzioni più gravi, in relazione alla maggiore gravità della violazione, il cui importo può ammontare fino a 20.000,000 di euro o, per le imprese, fino al 4% del fatturato Mondiale totale annuo dell’esercizio precedente, se superiore. Tali sanzioni riguardano le seguenti violazioni:
- 5, 6, 7 e 9 GDPR (base del trattamento)
- Da 12 a 22 (diritti degli interessati)
- Da 44 a 49 (trasferimenti di dati a paesi Terzi)
- inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.
L’Autorità, nella determinazione dell’importo sanzionatorio da comminare, deve tener conto della natura, della gravità della violazione, della durata; deve altresì considerarsi il carattere doloso o colposo della violazione, nonché le misure adottate dal Titolare o responsabile del trattamento per attenuare il danno subìto dagli interessati, eventuale esistenza di precedenti violazioni e, in generale, deve tener conto di tutte le circostanze del singolo caso concreto. Sul punto di richiama una recentissima ordinanza della Suprema Corte di Cassazione che ha fissato i parametri essenziali delle sanzioni per violazione nel trattamento dei dati personali stabilite nell’articolo 83 del GDPR. Gli Ermellini hanno ribadito i principi generali che devono presiedere all’irrogazione di una sanzione, stabilendo che questa deve essere “effettiva, proporzionale e dissuasiva e rapportata “al singolo caso”. (Ordinanza. N. 27189 del 22 settembre 2023).
Tabella sanzioni GDPR
| Violazione | Sanzione amministrativa | Sanzione penale |
| Artt. 5, 6, 7 e 9 GDPR | Fino a 20 milioni di euro o 4% fatturato annuo mondiale dell’esercizio precedente, se superiore | |
| Artt. Da 12 a 22 | ||
| Artt. Da 44 a 49 | ||
| inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR | ||
| artt. 8, 11, da 25 a 39, 42 e 43 GDPR | 10.000,000 di euro o, per le imprese, fino al 2% del fatturato Mondiale totale annuo dell’esercizio precedente, se superiore | |
| Violazioni di obblighi imposti agli organismi di certificazione | ||
| Art. 41 GDPR (Codici di condotta) | ||
| Art. 167 e 168 cod. Privacy | Da 6 mesi a 3 anni | |
| Art. 167-bis e ter cod. Privacy | Da 1 a 6 anni | |
| Art. 170 cod. Privacy | Da 3 mesi a 2 anni | |
| Art. 171 cod. Privacy | pena dell’ammenda da 154 euro a 1.549 euro o l’arresto da 15 giorni a 1 anno. Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente |
Le responsabilità del DPO o RPD
La responsabilità per le violazioni delle disposizioni in materia di protezione dei dati personali è ripartita, congiuntamente, tra titolare e responsabile del Trattamento. L’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Mentre il titolare del trattamento risponde per il danno cagionato dal trattamento che il regolamento il soggetto nominato responsabile del trattamento ai sensi dell’art. 28 GDPR risponde solo in caso di inadempimento degli obblighi del GDPR specificatamente rivolti ai responsabili del trattamento o qualora abbia agito in modo difforme o alle istruzioni im partite dal titolare del trattamento.
Quanto invece alla responsabilità del DPO, quest’ultima è di tipo contrattuale nei confronti del Titolare del trattamento. Il responsabile della protezione dei dati, tuttavia, non potrà essere chiamato a rispondere dei danni cagionati per inosservanza degli obblighi derivanti dalla normativa sulla protezione, restando tale responsabilità non delegabile, anche in forza del principio di accountability in virtù del quale resta in capo al titolare dover dimostrare di aver adottato tutte le misure idonee ad evitare il danno e che questo non è a lui imputabile.
