Il Decreto Legislativo 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), all’art. 22, comma 13 stabiliva che:
“13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. “
Molti, andando oltre la interpretazione letterale della norma, hanno rinvenuto in tale comma una sorta di moratoria - operata dall’Autorità di Controllo per la protezione dei dati personali (in Italia, il Garante) riguardo all’applicazione del regime sanzionatorio disciplinato sia attraverso il Regolamento (UE) 2016/679 che il D.Lgs. n. 196/2003 modificato dal D.Lgs. n. 101/2018 -, con decorrenza presunta dal 19 maggio 2019, (la scadenza slitterebbe al 20 maggio 2019 primo giorno feriale, successivo alla domenica.)
In realtà non è così perché dal 20 maggio 2019 non sono entrate in vigore nuove norme né tanto meno nuovi profili sanzionatori.
Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.
Di seguito si riportano le tabelle relative ai due importi massimi previsti dal regolamento comunitario.
Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
-
art. 8 (consenso dei minori),
-
art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
-
art. 23 (privacy by design e privacy by default),
-
art. 24 (contitolarità del trattamento),
-
art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
-
art. 26 (Responsabili del trattamento),
-
art. 27 (istruzioni e autorità del Titolare),
-
art. 28 (documentazione relativa a ciascun trattamento di dati personali),
-
art. 29 (cooperazione con l’Autorità di vigilanza),
-
art. 30 (sicurezza del trattamento),
-
art. 31 (notificazione dei data breach all’Autorità),
-
art. 32 (comunicazione dei data breach agli interessati),
-
art. 33 (DPIA – Data Protection Impact Assessment),
-
art. 34 (consultazione preventiva dell’Autorità di vigilanza),
-
artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
-
art. 39 (compiti del Responsabile della protezione dei dati)
-
art. 40 (processi di certificazione).
Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.
Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:
-
principi base del trattamento, (art. 5 e ss.)
-
condizioni per il consenso, (art. 7 e ss.)
-
diritti degli interessati, (art. 12 e ss.)
-
trasferimento di dati personali all’estero, (artt. 44 e ss.)
-
mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza. (art. 58)
Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”.
In Italia, si registra la seguente situazione:
l’art. 167 del Codice, rubricato “Trattamento illecito di dati” dispone che:
- le violazione riguardanti la materia del trattamento dei dati personali attraverso le comunicazioni elettroniche sono punite con la reclusione da sei mesi a un anno e sei mesi.
- le violazioni che riguardano:
a) il trattamento di categorie particolari di dati (artt. 9 e 10 GDPR);
b) il trasferimento di dati personali verso un Paese terzo (cioè al di fuori della UE/SEE) o una organizzazione internazionale;
sono punite con la reclusione da uno a tre anni.
L’art. 167 – bis del Codice, rubricato “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, dispone che:
la comunicazione/diffusione, senza consenso, di un archivio automatizzato o di una parte sostanziale di esso, contenente dati personali, è punita con la reclusione da un anno a sei anni.
L’art. 167 – ter del Codice, rubricato “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, dispone che:
chi acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali è punito con la reclusione da un anno e quattro anni.
L’art. 168 del Codice, rubricato “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, dispone che:
-
chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi è punito con la reclusione da sei mesi a tre anni.
-
chi cagiona intenzionalmente una interruzione o turba la regolarità di un procedimento dinanzi al garante o degli accertamenti dallo stesso svolti, è punito con la reclusione sino ad un anno.
L’art. 170 del Codice, rubricato “Inosservanza di provvedimenti del Garante”, dispone che:
-
chi, essendovi tenuto, non osserva i provvedimenti del Garante è punito con la reclusione da tre mesi a due anni.
Per tutti i delitti sopra richiamati, come pena accessoria è prevista la pubblicazione della sentenza.