GDPR, quasi la totalità dei nostri clienti, informati sugli obblighi dei nuovi adempimenti in materia di sicurezza dei dati personali, ci chiede?, e se non mi adeguo?.
Agenda Digitale, nella figura di Fabio Di Resta, risponde per noi, con uno splendito articolo che riportiamo per comodità di seguito, ma prima oltre che ringraziare il Dr. Di Resta, continuerei ad elencare i suoi titoli e le sue competenze: DPO in ambito Ospedaliero e sanitario, avvocato, LL.M., presidente del EPCE, titolare dello studio Di Resta Lawyers, docente al Corso di Alta Formazione in Antiriciclaggio, Univ. Sapienza di Roma.
Chiariamo nel dettaglio quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018. Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.
Tale regolamento in realtà è il più importante tassello di una riforma europea complessiva della materia che riguarda altre direttive europee e trattati internazionali (per esempio, la direttiva UE 2016/680, la revisione del Reg. UE 2001/45 e della Convenzione internazionale del 28 gennaio 1981, n. 108).
Da non dimenticare che l’attuazione del GDPR ha già comportato la recente approvazione di due leggi come la legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017) e la legge 167/2017 (in vigore dal 12 dicembre 2017) che contiene tra le altre disposizioni anche l’aggiornamento della disciplina relativa all’art. 29 del Codice della Privacy con specificazione degli elementi essenziali della nomina del responsabile del trattamento dei dati personali.
In tale contesto, ci si chiede di continuo quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018.
Le sanzioni GDPR
Appare appena il caso di ricordare come tra le sanzioni amministrative più ricorrenti nel corso degli ultimi anni in materia vi sono certamente le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere, l’omessa o inidonea informativa comporta infatti una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.
Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.
Inoltre, vi sono altre violazioni amministrative previste dal Codice della Privacy, oltre all’omessa o incompleta notificazione, un articolo che merita particolare attenzione per la sua importanza sul lato operativo e applicativo soprattutto relativamente alle attività di vigilanza da parte del Garante, della Guardia di Finanza e degli pubblici ufficiali che riscontrano le predette violazioni, è l’art. 162 del Codice.
L’articolo punisce varie fattispecie dalla cessione dei dati personali tra titolari autonomi del trattamento alla comunicazione dei dati sanitari all’interessato in violazione dell’art. 84 del Codice.
In tale contesto, di particolare rilevanza operativa appare il comma 2 bis dell’art. 162 del Codice, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.
Per quanto attiene alla fattispecie di violazione amministrativa relativa al trattamento illecito dei dati preme mettere in evidenza che l’art. 167 C.d.P. effettua una serie di rinvii ad altre disposizioni, può costituire infatti trattamento illecito dei dati l’omesso consenso informativo (p.e. consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi) oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.
Chi risponde delle violazioni
A questo punto occorre considerare che spesso si ritiene che l’unica persona tenuta a rispondere della sanziona amministrativa sia sempre solo e soltanto il titolare del trattamento (da intendersi come l’entità nel suo complesso), al responsabile del trattamento non è pertanto mai attribuibile l’illecito amministrativo?
In tali casi l’Autorità deputata all’accertamento dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale venga effettuata al contravventore e al responsabile in solido, in tal modo la stessa viene non di rado contestata per esempio al titolare del trattamento e al responsabile del trattamento, nella misura in cui sussista un formale atto di designazione e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.
Inoltre, merita di essere portato all’attenzione del lettore che l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, questo ha risvolti particolarmente rilevanti sul piano operativo.
Il passaggio merita una breve riflessione, mentre l’art. 167 sul trattamento illecito è un reato a dolo specifico e richiede anche che ricorra il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa è pertanto sufficiente che non vi sia un consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.
Per esempio di recente con riguardo all’inidoneità dell’informativa relativa ad un impianto di videosorveglianza il Garante ha contestato tale violazione sia al titolare del trattamento (una società editrice) in qualità di responsabile in solido, sia alla persona fisica che era stata designata in qualità di responsabile del trattamento dei dati rispetto al trattamento dei dati personali relativi alle immagini registrate [1].
Il caso citato non rappresenta certo una rarità nel quadro degli accertamenti e mette certamente in evidenza come un inadempimento grave da parte del responsabile del trattamento possa comportare responsabilità non solo sul titolare.
A tale riguardo diversi articoli del regolamento europeo rafforzano gli obblighi generali e di sicurezza del trattamento in capo al responsabile del trattamento, dagli articoli 28 e 30 all’art. 33 sulla notificazione della violazione dei dati, infine, l’articolo 83, lettera d) dando rilevanza al grado di responsabilità tra titolare e responsabile rende esplicita l’attribuzione anche al responsabile dell’illecito amministrativo.
Le responsabilità del RPD o DPO
Sull’altro versante, altro quesito ricorrente nei vari consessi specialistici è quali sono le responsabilità del RPD o DPO rispetto a quelle del titolare e del responsabile del trattamento?
Tale scenario deve far riflettere anche sulle responsabilità della nuova figura del responsabile della protezione dei dati personali (c.d. RPD) ovvero Data Protection Officer (c.d. DPO).
Si tratta come è noto di una sorta di supervisore indipendente che dovrà supportare il titolare e il responsabile nel garantire che l’organizzazione sia conforme al GDPR, o meglio è una funzione organizzativa assimilabile per molti versi al ruolo dell’Organismo di Vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti).
Sebbene in questa sede non sia possibile analizzare i requisiti soggettivi (conoscenza specialistica e capacità di assolvere compiti anche con riguardo al settore specifico) ed oggettivi della nomina del DPO, preme ricordare che lo stesso ha compiti molto complessi, ulteriori e molto diversi rispetto al responsabile della trattamento dei dati, che vanno dalla comunicazione e sensibilizzazione al monitoraggio e alla verifica di conformità e dell’adeguatezza delle analisi dei rischi e delle misure di sicurezza, non ultimo il DPO sarà anche il punto di contatto con l’Autorità Garante per la protezione dei dati personali.
Sotto il profilo delle responsabilità da illecito amministrativo, il DPO non ha responsabilità dirette[2], tuttavia, permangono certamente responsabilità in via di rivalsa sul piano risarcitorio a favore del titolare e del responsabile che abbia subito un danno derivante da colpa grave o inadempienze gravi riferibili ai compiti previsti per il DPO.
Inoltre, il DPO come noto dovrà effettuare una supervisione complessa in ordine alla conformità al regolamento e dovrà anche garantire l’esercizio dei diritti dell’interessato con tempi prestabiliti.
Come accennato il DPO dovrà inoltre collaborare e fungere da contatto con l’Autorità garante mostrando il lavoro svolto in termini di documentazione (c.d. principio di accountability o di responsabilizzazione) delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti de dati personali dell’organizzazione.
Peraltro, non si devono trascurare i requisiti di indipendenza di tale figura, da una parte la non ingerenza da parte del titolare e dall’altra l’assenza di un conflitto di interessi.
Quest’ultimo aspetto dovrà essere valutato attentamente da parte del titolare e del responsabile del trattamento, evitando di designare persone che determinano le finalità e le modalità del trattamento e declinando tali criteri rispetto ai poteri e alle responsabilità del candidato DPO.
A questo riguardo il Gruppo Articolo 29 ha ritenuto che possa sussistere conflitto di interesse del DPO con i seguenti ruoli: l’amministratore delegato, il responsabile del personale, il responsabile del sistema informativo, il direttore sanitario, il direttore marketing.
Una scelta errata su questo aspetto critico potrà comportare l’applicazione di sanzioni molto elevate in capo al titolare e al responsabile del trattamento, è pertanto consigliabile avere un approccio proattivo al rischio, avviando sin da subito le dovute valutazioni per conformarsi al nuovo regolamento.
Le sanzioni in prospettiva europea
Infine, in riferimento al nuovo quadro sanzionatorio previsto dal regolamento europeo si ricorda che come previsto dall’art. 84 del regolamento europeo la materia penale rientra nella competenza di ciascuno Stato Membro, mentre le sanzioni amministrative pecuniarie sono armonizzate e devono osservare i criteri di effettività, proporzionalità e dissuasività.
L’art. 83 richiamando i tre criteri sopra menzionati specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.
In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molti elevati fino al 20 milioni di euro o il 4% del fattura mondiale annuale, il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri, a tale scopo le recenti linee guida pubblicare il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione che, in casi irrisori e che non hanno rischi significativi per gli interessati, potrà anche corrispondere una mera diffida amministrativa in alternativa alla sanzione pecuniaria (reprimand nella versione inglese), ma dall’altra parte, tenendo conto delle circostanze specifiche una violazione dei dati anziché comportare la pena fino a 10 mln di euro, sanzione relativa anche all’inosservanza della disciplina rivolta al Data Protection Officer, potrebbe anche comportare una sanzione pecuniaria superiore se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni dell’Autorità di controllo[3].