Privacy: multe e reati del Gdpr
di Monia Vasta - Il testo del Decreto di adeguamento al Gdpr pubblicato nella Gazzetta Ufficiale è entrato in vigore il 19 settembre 2018, a decorrere da tale data, tutti coloro che non si adegueranno alle predette norme rischieranno sanzioni amministrative, che si applicheranno anche alle violazioni commesse prima che il decreto entrasse in vigore.
- Gdpr: l'interpretazione del decreto 101 da parte del Garante
- I reati previsti dal decreto privacy
- Le novità del decreto privacy
Gdpr: l'interpretazione del decreto 101 da parte del Garante
Su punto però vi sono diverse incongruenze di interpretazione da parte del Garante, infatti l'art. 18 del D.lgs. n°101/18, recita (il testo in G.U.):
"In deroga all'articolo 16 della legge 24 novembre 1981, n. 689, per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all'articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione, è ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Fatti salvi i restanti atti del procedimento eventualmente già adottati, il pagamento potrà essere effettuato entro novanta giorni dalla data di entrata in vigore del presente decreto".
Nel testo si evince che il pagamento, in misura ridotta, delle sanzioni riguarda "i procedimenti sanzionatori […] che, alla data di applicazione del Regolamento (25 maggio 2018), risultino non ancora definiti con l'adozione dell'ordinanza ingiunzione".
I soggetti che possono beneficiare di tale norma e che possono usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante, sono coloro i quali non abbiano ancora ricevuto un'ordinanza ingiunzione relativa a un procedimento pendente alla data di entrata in vigore dalla norma.
Il Garante ha voluto fornire una lettura interpretativa alle domande poste più frequentemente (consultabili sul sito istituzionale), nonostante le spiegazioni siano difformi.
Definizione agevolata sanzioni privacy
Ad esempio alla medesima domanda posta: "Chi può usufruire della definizione agevolata dei procedimenti sanzionatori pendenti innanzi al Garante?" , l'Autorità si esprime in tal senso:
"I contravventori che abbiano ricevuto, entro la data del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata di cui all'art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter,163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del Codice, hanno la facoltà di definire i suddetti procedimenti mediante il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale previsto per la sanzione (cfr. art. 18 del decreto legislativo n.101 del 10 agosto 2018).
Va precisato inoltre che, poiché il citato articolo 18 del d.lgs.101/2018 prevede che siano "fatti salvi i restanti atti del procedimento eventualmente già adottati", la suddetta facoltà di definizione agevolata non è ammessa qualora il procedimento sanzionatorio si sia nel frattempo concluso con l'adozione di un provvedimento di ordinanza-ingiunzione da parte del Garante".
L'ambito di applicabilità (o, di "legittimazione attiva" ad usufruire della procedura summenzionata) riguarderebbe, i soli contravventori che abbiano ricevuto, prima del 25 maggio 2018, l'atto con il quale sono stati notificati gli estremi della violazione o l'atto di contestazione immediata ex art. 18 della L. n°689/81.
L'art. 18 del D.lgs. n°101/18 sembra ammettere piuttosto la possibilità di definizione agevolata, per chiunque non abbia ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento già pendente, a quella data, nei suoi confronti, e non solo per i contravventori che abbiano ricevuto gli atti sopra indicati.
Tale considerazione mette in luce una differenza sostanziale rispetto a quanto dedotto dall'Autorità, in relazione alla successiva precisazione di questa, laddove in senso apparentemente contraddittorio a quanto affermato dal testo della legge, alla domanda n°12 delle stesse FAQ che recita:
"Ho ricevuto un atto di contestazione successivamente al 25 maggio 2018 ma relativo a violazioni commesse prima di tale data. Posso usufruire della definizione agevolata prevista dal decreto n°101/2018?"
A tale quesito l'Autorità risponde in senso negativo, sottolineando che: " chi ha ricevuto un atto di contestazione successivamente al 25 maggio 2018, ma relativo a violazioni commesse prima di tale data, non può usufruire della definizione agevolata prevista dal decreto n°101/2018 e ciò poiché, l'art. 18 del decreto n. 101/2018 prevede la facoltà di definizione agevolata della violazioni solo per "i procedimenti sanzionatori […] che, alla data di applicazione del Regolamento [25 maggio 2018], risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione".
Nell'art. 18 del D.lgs. 101/2018, né nei successivi sussiste, alcuna specificazione sull'accessibilità alla procedura di definizione agevolata, riguardante le diverse categorie dei contravventori, pur citate dall'Autorità nelle proprie FAQ, né è riscontrabile alcuna differenziazione in merito tra soggetti che abbiano ricevuto gli atti citati nelle stesse FAQ o meno.
Ai fatti commessi prima della data di entrata in vigore del decreto non può essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena, originariamente prevista od inflitta per il reato, tenuto conto del ragguaglio dell'art.135 c.p. "Quando, per qualsiasi effetto giuridico, si deve eseguire un ragguaglio fra pene pecuniarie e pene detentive, il computo ha luogo calcolando euro 250, o frazione di euro 250, di pena pecuniaria per un giorno di pena detentiva". A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal suddetto decreto, salvo che le stesse non sostituiscano le pene accessorie corrispondenti.
I reati previsti dal decreto privacy
Il decreto fa rientrare nel sistema penale e seguenti reati:
a) trattamento illecito dei dati;
b) comunicazione, diffusione dei dati illecita;
c) acquisizione fraudolenta di dati;
d) false dichiarazioni al Garante;
e) interruzione dell'esercizio dei poteri del Garante;
f) inosservanza dei provvedimenti del Garante.
Allo stato attuale, dall'interpretazione fornita dal Garante, si evince che i soggetti interessati ai procedimenti sanzionatori in questione che non abbiano ricevuto un'ordinanza-ingiunzione alla data del 25 maggio 2018, in relazione a un procedimento già pendente a quella data, possano procedere nella definizione agevolata, corrispondendo l'ammontare ridotto dei due quinti del minimo edittale previsto per la sanzione emessa nei loro confronti, nelle modalità indicate dalla stessa Autorità Garante. Si auspica una interpretazione netta da parte dell'autorità.
Le novità del decreto privacy
Le principali natività del decreto privacy di adeguamento al Gdpr sono le seguenti:
a. Le definizioni principali restano invariate, ma sono state introdotte sia il dato genetico sia il dato biometrico, che nel Codice erano ricomprese nel novero dei dati relativi alla salute (ex art. 2 –septies - Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute).
b. Il diritto comunitario vede ampliato il proprio perimetro di applicazione, arrivando a comprendere anche i trattamenti di dati personali non svolti nella Unione Europea ma, comunque, relativi all'offerta di beni o servizi a cittadini comunitari o tali da consentire il monitoraggio dei comportamenti dei cittadini della UE.
c. Viene introdotto il diritto degli interessati alla portabilità del dato, da impiegare nell'ipotesi in cui si volesse trasferire i propri dati dal un social network ad un altro. Viene, altresì, introdotto il diritto all'oblio, che consente all'interessato di decidere quali informazioni possano continuare a circolare, dopo un determinato periodo di tempo. Il suddetto diritto non ha una valenza di diritto assoluto ma contemperato con: il rispetto degli obblighi di legge, la garanzia di esercizio della libertà di espressione e dei dati necessari alla ricerca storica.
d. Viene meno l'obbligo in capo ai titolari di notificare i trattamenti di dati personali, che è sostituito da quello di nominare il Responsabile della protezione dei dati (data protection officer) per tutti i soggetti pubblici e per i privati, il cui trattamento dei dati rientri nelle fattispecie di legge.
e. E' inserito il requisito della valutazione di impatto (ciò significa che già nel momento in cui il Titolare valuta la possibilità di effettuare un trattamento, il medesimo dovrà contestualmente predisporre una valutazione d'impatto anche in ambito privacy (Privacy Impact Assessment- PIA), oltre al principio di privacy by design, che richiede la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.
f. E' obbligatorio per tutti i titolari del trattamento di notificare all'Autorità competente (in Italia al Garante per la protezione dei dati personali) le violazioni dei dati personali (data breach).
g. Ulteriore elemento di novità è rappresentato dall'attribuzione al Garante di poteri anche sanzionatori e al rafforzamento della sua indipendenza, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati.
Il Decreto:
Data: 22/12/2018 10:50:00Autore: Monia Vasta