Home » Sanzioni

Sanzioni

L’impianto sanzionatorio delineato dal D. Lgs. 196/2003 (Codice della Privacy) si caratterizza per la presenza, nel caso di violazione dei precetti posti a presidio della protezione dei dati personali, di disposizioni che prevedono l’applicazione di tutti i tipi di sanzioni presenti nel nostro ordinamento: sanzioni amministrative, sanzioni penali ed anche sanzioni di tipo civilistico (ossia risarcimento danni derivanti da illecito trattamento dei dati).

L’apparato sanzionatorio è variegato e severo, al fine di indurre il Titolare del trattamento a rispettare i dettami del Codice della Privacy, dal momento che vi era il rischio che questi percepissero gli adempimenti in tema di riservatezza solo come un costo aggiuntivo, o un ostacolo, e non come una necessità strettamente connessa all’attività imprenditoriale o istituzionale dell’ente.

Il rischio di incorrere nelle sanzioni discende non solo dagli eventuali controlli ispettivi che possa disporre l’Autorità Garante per la Protezione dei Dati Personali: il rischio maggiore deriva piuttosto dall’elevato numero di interessati (cioè coloro ai quali si riferiscono i dati oggetto di trattamento) che, qualora ritengano aver subito un trattamento illecito dei propri dati personali (più o meno consapevole) da parte del Titolare, possono attivare le procedure di tutela e controllo innanzi al Garante. All’esito di tali procedure il Titolare può vedersi comminare una sanzione amministrativa, oppure (o cumulativamente) può subire un procedimento penale (l’Autorità, infatti, se ravvisa un’ipotesi di reato rimette gli atti d’ufficio alla Procura competente). Per quanto riguarda, invece, il risarcimento danni di matrice civilistica, questo potrà essere disposto solo dal Giudice Ordinario, e dovrà essere determinato all’esito di un giudizio civile: il Titolare sarà tenuto a risarcire anche i danni non patrimoniali che siano derivati all’interessato dal trattamento illecito, e non potrà più utilizzare i dati trattati in violazione della disciplina dettata dal Codice della Privacy.

In ordine alle sanzioni amministrative occorre innanzi tutto porre l’accento sulla consistenza economica delle ammende: l’articolo 161, ad esempio, sanziona sia l’omessa informativa che quella inidonea: in altre parole il titolare è punito sia quando non rende affatto l’informativa all’interessato, sia quando la rende, ma incompleta, ossia manchevole di taluni degli elementi tipici elencati nell’articolo 13 del Codice della Privacy (e non solo: talvolta la normativa è disseminata nei provvedimenti dettati per particolari settori, si pensi alla videosorveglianza, ove sono previsti altri elementi necessari affinché l’informativa possa dirsi idonea ed il cui mancato rispetto è punito con la sanzione in commento). Ebbene, le due condotte, ora sommariamente descritte, sono punite con il pagamento  di una somma che va da seimila sino a trentaseimila euro. A norma  dell’articolo 164 bis, comma 3, D. Lgs 196/2003 in casi di  maggiore  gravità  e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio: la sanzione pertanto andrebbe da dodicimila a settantaduemila euro. A ciò si aggiunga che a norma dell’articolo 164 bis comma 4 del Codice della Privacy la sanzione potrebbe essere aumentata fino al quadruplo quando potrebbe risultare inefficace in ragione delle condizioni economiche del contravventore. Potrebbe essere quindi comminata una sanzione pari a centoquarantaquattromila euro, e nel caso di applicazione di entrambe le aggravanti si potrebbe giungere addirittura a veder comminata una sanzione di duecentottantottomila euro.

Senza voler procedere ad una disamina esaustiva delle sanzioni amministrative, la cui elencazione e consistenza può agevolmente trarsi dal codice, si vuole tuttavia dare una rapida indicazione dei principali adempimenti che comportano sanzioni anche rilevanti. In particolare si evidenzia il disposto dell’articolo 162 del Codice della Privacy, il quale richiama non solo la mancata applicazione delle misure minime di sicurezza, ma anche le fattispecie penali di cui all’articolo 167 del Codice, rendendo passibile di sanzione amministrativa (oltre che penale), ad esempio, il trattamento effettuato senza il consenso dell’interessato, o l’invio di comunicazioni indesiderate, ma che contiene anche un inciso nel primo comma, (che costituisce una norma di chiusura del sistema), che rende suscettibile di sanzione amministrativa qualsiasi condotta  inerente “la cessione dei dati in violazione di quanto previsto dall’articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali “ (punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro).

In ordine all’applicazione delle sanzioni penali, si evidenzia, in primo luogo, che si tratta sempre di reati perseguibili d’ufficio e che sono punite le più svariate condotte: si va infatti dal controllo diretto del lavoratore a quello indiretto ma irrispettoso delle procedure descritte all’articolo 4 comma 2 della legge n. 300/1970, dall’invio di comunicazioni indesiderate al trattamento senza consenso, dall’omissione delle misure minime di sicurezza al trasferimento dei dati all’estero in violazione dell’articolo 45 del Codice, sino a giungere alla falsità nelle dichiarazioni o notificazioni al garante o alle fattispecie riferite ai trattamenti effettuati da soggetti pubblici.

Al di là degli elementi costitutivi richiesti per il perfezionamento delle singole fattispecie, vi è un principio generale che si applica a tutti i reati in tema di privacy, ossia che la responsabilità penale è personale. Proprio, quindi, in ragione delle conseguenze penali che ne derivano è importante che il Titolare individui con esattezza e per iscritto i diversi “ruoli privacy” ossia i soggetti incaricati e gli eventuali responsabili del trattamento, impartendo loro le necessarie istruzioni.

Mantenere traccia dei trattamenti, delle modalità con le quali sono effettuati e dei soggetti che operano sui dati è, infatti, la prima condizione per imputare adeguatamente, in caso di illeciti (soprattutto penali), le relative responsabilità.

Articoli recenti

Archivi

Consulenza

Attività di consulenza e pareristica in ordine a questioni attinenti la materia della privacy in ambito aziendale.
Contattaci

Codice Privacy

Consulta il Testo Aggiornato del D. lgs. 196 del 2003 (Codice Privacy)
Consulta

Legge Privacy - Policy Privacy - Note Legali - Copyright IQUII Srl