Le sanzioni per violazione del Regolamento Europeo sulla protezione dei dati

In questo articolo dell’ingegner Adalberto Biasiotti esaminiamo le applicazioni delle sanzioni per violazione del Regolamento generale europeo sulla protezione dei dati personali. Si tratta di una faccenda piuttosto complessa.
Chi ha studiato l’articolo 83 del Regolamento generale europeo si è reso conto infatti che il processo analitico che porta alla determinazione di una sanzione, per violazione del Regolamento generale europeo, è alquanto complesso.

Sanzioni per violazione del Regolamento: quali personalizzazioni?

Per fare un parallelo, che può aiutare a chiarire la situazione, vediamo la sanzione prevista per chi attraversa un incrocio con il semaforo rosso.
La sanzione è unica e non è condizionata da alcun fattore specifico. Basta andare in Svizzera, per vedere una lieve differenza, legata al fatto che l’importo della sanzione è determinato anche sulla base del reddito dichiarato da chi ha violato il semaforo rosso. Assistiamo quindi ad una sorta di personalizzazione della sanzione.
È questo l’approccio seguito dal parlamento europeo. Il comma 1 dell’articolo 83, afferma infatti che le sanzioni amministrative pecuniarie inflitte per violazioni del regolamento, devono essere “effettive, proporzionate e dissuasive”.

Il rispetto della sanzione effettiva, proporzionata e dissuasiva

Ciò significa che, in fase di esame di una violazione e determinazione della sanzione applicabile, l’autorità garante nazionale deve istruire un processo analitico, che prende in esame la bellezza di 11 fattori e numerosi sotto fattori. Solo così infatti viene rispettato il principio di una sanzione effettiva, proporzionata e dissuasiva.

La sanzione proporzionata al reddito

Abbiamo già visto che la Svizzera analizza la dichiarazione dei redditi di un soggetto che ha violato il codice stradale; nella fattispecie occorre analizzare il giro d’affari dell’azienda coinvolta nella violazione. Questo per evitare che una sanzione di basso importo sia poco dissuasiva, ma anche per evitare che una stazione di eccessivo importo possa mettere in ginocchio l’azienda, in quanto non proporzionata alle dimensioni economiche dell’azienda stessa.

Sanzioni per violazione del Regolamento: la formazione specifica

Su questo tema è stato allestito un corso specifico di formazione; il corso è sostenuto da una pubblicazione che aiuta, soprattutto per confronto con quanto già fatto in altri paesi europei, nel valutare tutti i principali parametri, che influenzano la determinazione della sanzione.

Gli applicativi per calcolare l’importo della sanzione

L’Olanda e la Germania hanno già messi a punto degli applicativi, nei quali sono inserite le valutazioni relative alla violazione in esame; attraverso questi si giunge a determinare l’importo della sanzione. L’autorità garante dell’Islanda è una delle poche autorità garanti che ha addirittura istituzionalizzato il documento; questo analizza la gravità della violazione, e quindi la sanzione applicabile, riproducendo lettera per lettera tutte le aree di valutazione illustrate al comma 2 dell’articolo 83 del regolamento.

Cosa succede in Italia

In Italia non siamo ancora arrivati ad un approccio così acribico, d’altronde assai apprezzabile; spesso i provvedimenti sanzionatori dell’autorità Garante sono formulati in maniera aggregata, rendendo talvolta difficile una valutazione incrociata del peso da attribuire ai vari fattori.

Non dimentichiamo che quanto sopra fa esclusivo riferimento alle sanzioni amministrative pecuniarie, ma è sempre fatto salvo il potere della autorità Garante di imporre al titolare di adeguarsi ad altri specifici comportamenti. Tali comportamenti possono contribuire, ad esempio, a diminuire la probabilità che le cause che hanno portato alla violazione possano ripetersi. Questo tema viene trattato all’articolo 58, dove sono elencati i poteri dell’autorità garante.

L’eventualità di un Audit

Al proposito, basti pensare al fatto che l’Autorità garante potrebbe, ad esempio, imporre al titolare del trattamento di far effettuare da un ente terzo accreditato un audit trimestrale delle proprie modalità di trattamento; questo onde verificare se le stesse siano state allineate con criteri soddisfacenti di sicurezza. I costi di questo audit potrebbero, in un certo senso, essere ritenuti come aggravante economica, rispetto alle sanzioni comminate.

Il tema è assai complesso ed ecco la ragione per la quale, come accennato in precedenza, alcuni paesi hanno adottato degli applicativi, che aiutano la autorità garante nel rispettare comportamenti omogenei, nell’esame di vari tipi di sanzione.

I criteri di applicazione delle sanzioni

Infine, giova ricordare che i criteri di applicazione delle sanzioni debbono essere armonizzati anche a livello europeo. E’ pertanto facoltà del titolare, che ritenga che l’Autorità garante nazionale non abbia puntualmente rispettato le indicazioni del regolamento, di rivolgersi al comitato europeo per la protezione dei dati, per verificare se tali indicazioni siano armonizzate con quanto accade in altri paesi europei.

Ove non si consentisse questo confronto incrociato, sotto la vigilanza del comitato europeo, potrebbero nascere delle situazioni anomale; queste potrebbero indurre un titolare del trattamento a stabilire la propria sede operativa in un paese, dove la applicazione di sanzioni è fatta secondo criteri più “morbidi”.

La lettura del volume di EPC Libri, dedicato a questo tema, e la partecipazione a corsi di formazione specifici costituiscono preziosi strumenti di analisi, a disposizione di chiunque sia coinvolto, o tema di poter essere presto o tardi coinvolto, in situazioni tali da violare le disposizioni del regolamento europeo sulla protezione dei dati personali.

Puoi approfondire l’argomento con il volume di EPC Editore!

Aggiornati con i corsi dell’Istituto INFORMA!