Il legislatore europeo con il Regolamento UE 2016/679, ha inasprito l'impianto delle sanzioni amministrative pecuniarie dando maggiore uniformità tra gli stati all'interno dell'Unione Europea.
Rispetto alla Direttiva Madre 95/46/CE, il GDPR regolamenta in modo dettagliato il quadro sanzionatorio dettando, oltre agli importi massimi edittali, anche i criteri di ponderazione delle sanzioni a vantaggio delle Autorità di controllo dei singoli stati membri.
L'articolo 83 del GDPR indica i casi nei quali l'Autorità di controllo può irrogare sanzioni e i cui importi possono variare in ragione della gravità dell'infrazione o della natura del destinatario ad esempio se è impresa o persona fisica.
Esemplificando, abbiamo due livelli di sanzioni: 1° livello e 2° livello. Più nel dettaglio, il Regolamento prevede che l'importo massimo comminabile per le infrazioni relative al 1° livello, è pari ad euro 10 milioni o per le imprese il 2% del fatturato mondiale annuo dell'esercizio precedente se maggiore.
=> Gdpr: la nuova cultura del trattamento dei dati personali
Alcune delle violazioni per le quali si è soggetti a sanzioni di 1° livello sono:
1. la mancata raccolta del consenso per trattamenti che riguardano i minori relativamente a servizi della società dell'informazione (art. 9);
2. la mancata progettazione della protezione dei dati prima di un trattamento o la mancata impostazione predefinita per la loro minimizzazione - privacy by design e by default - (art. 25);
3. il non aver nominato i rappresentanti e/o i responsabili del trattamento (art. 28);
4. il mancato riconoscimento della contitolarietà del trattamento (art. 26);
5. il non aver istruito le persone autorizzate al trattamento - ex incaricati - (artt. 29-32);
6. non avere il registro dei trattamenti, quando obbligatorio (art. 30);
7. la mancata cooperazione con l'Autorità di controllo;
8. la mancata applicazione delle misure di sicurezza (art. 32);
9. la mancata notificazione dell'avvenuta violazione dei dati (art. 33).
Con riferimento alla sfera condominiale e all'amministratore di condominio, ricadere nei casi dei punti 2, 3, 5, 8, 9 è più facile di quanto si possa credere.
=> Privacy e GDPR: le nuove incombenze sono a carico del condominio o dell'amministratore?
Basti pensare all'installazione di telecamere che riprendano anche ingressi privati o ampie porzioni di suolo pubblico o che non vengano opportunamente impostati i tempi di registrazione delle immagini (punto 2), oppure non riuscire a dimostrare di aver formato i propri collaboratori al trattamento dei dati (punto 5 e 8), e ancora non aver predisposto procedure automatiche di back-up dei dati o per il ripristino tempestivo degli stessi anche nei casi di incidenti materiali o procedure che non garantiscano la riservatezza e l'integrità dei dati come l'accesso non sicuro a una piattaforma web (punto 8).
Al pari, possono essere applicate sanzioni amministrative pecuniarie di 2° livello, fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale dell'esercizio precedente se superiore in caso di impresa, quando, tra i vari, vengono usati comportamenti contrari:
1. ai principi base del regolamento o alle condizioni relative al consenso (artt. 5-6-7-9)
2. ai diritti degli interessati - informativa, accesso, rettifica o cancellazione dei dati, limitazione del trattamento, portabilità - (artt. da 12 a 22); 3. agli ordini impartiti dall'Autorità di controllo come la limitazione provvisoria o definitiva di un trattamento o il mancato accesso (art. 58).
Leggendo i diversi punti, è abbastanza facile poter essere sanzionati. Sarà sufficiente non rispettare uno dei diritti degli interessati.
Di contro lo stesso articolo 83 precisa che le sanzioni dovranno essere "in ogni caso effettive, proporzionate e dissuasive".
Questo significa che se anche all'Autorità di controllo è stato dato un potere sanzionatorio elevato, essa adotterà quei criteri affinché la sanzione sia proporzionata ala capacità reddituali della persona o al volume d'affari dell'impresa con lo scopo di dissuadere dal ripetere la stessa violazione.
Si comprende anche la difficoltà nell'indicare delle sanzioni amministrative pecuniarie minime, così come indicato nel D. Lgs 196/2003, se gli importi irrogabile sono riferiti a criteri di valutazione.
E' verosimile pensare che solo con il tempo verrà delineato un livello sanzionatorio di riferimento sulla base dei vari casi.
Se da un lato l'articolo 83 delinea le sanzioni amministrative pecuniarie sulla base delle violazioni, è vero anche emerge una discrezionalità da parte dell'Autorità di controllo circa l'opportunità o meno di infliggere sanzioni. Infatti spesso si dimenticano i poteri dell'Autorità, che non sono esclusivamente quelli sanzionatori ma anche, e direi soprattutto, quelli correttivi come ad esempio:
- rivolgere avvertimenti o ammonimenti al titolare o al responsabile del trattamento quando questi potrebbero violare le disposizioni del regolamento;
- ingiungere al titolare o al responsabile del trattamento il soddisfacimento delle richieste dell'interessato relative all'esercizio dei suoi diritti;
- conformare i trattamenti al regolamento entro un determinato termine;
- imporre la limitazione provvisoria o definitiva di un trattamento o la rettifica e/o cancellazione dei dati trattati.
Come si può vedere concentrarsi solo sulle sanzioni amministrative applicabili significa avere un quadro parziale degli interventi dell'Autorità di controllo, che da un lato non occorre sottovalutare e che dall'altro viene troppo spesso paventato per indurre comportamenti precipitosi a vantaggio di soggetti che potrebbero trarre vantaggi economici.
Occorrerà valutare con attenzione chi proporrà soluzioni per il rispetto e l'applicazione del GDPR facendo esclusivamente leva sulle sanzioni amministrative e senza tener conto di tutte le possibilità e soprattutto senza far comprendere che la privacy è un processo virtuoso e non un prodotto.
=> Realizzazione del sito web condominiale e tutela della privacy. Quali accorgimenti?
