7744
Cosa occorre sapere sulla protezione dei dati personali
Il regime sanzionatorio ed il risarcimento del danno
La Sede nazionale Aiop in collaborazione con lo studio legale Stefanelli&Stefanelli di Bologna, dà il via ad un progetto di approfondimento settimanale sul nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali.
Il Regolamento troverà piena applicazione nel maggio 2018, sostituendo la Direttiva 95/46/UE (prima di questa data continueranno ad applicarsi la direttiva e le leggi nazionali che implementano la stessa negli Stati membri).
Diversamente dalla precedente disciplina europea, il Regolamento non necessita di atti nazionali attuativi: ciò vuol dire che il quadro legislativo che dovrà essere rispettato è già chiaro e completo sin da oggi.
Per illustrare i nuovi obblighi che il Regolamento impone ai destinatari, l'Aiop ha organizzato una serie di seminari gratuiti destinati alle Strutture associate e parallelamente lancia una campagna informativa su Informaiop che, attraverso un approfondimento settimanale, si pone come obiettivo quello di analizzare le principali modifiche introdotte dalla nuova disciplina.
Ogni settimana saranno illustrati i riferimenti normativi, un’analisi dettagliata della tematica con l’indicazione schematica dei cambiamenti rispetto alla normativa attuale (Direttiva 95/46/CE e Codice Privacy) e la sintesi delle principali attività che le organizzazioni dovrebbero intraprendere per avviare un aggiornamento del sistema di gestione di dati e informazioni.
L’obiettivo è quello di consentire alle funzioni preposte all'interno delle organizzazioni di identificare rapidamente i problemi sul trattamento del dato e fornire utili spunti di risoluzione degli stessi.
La nuova normativa sulla data protection è corredata da un quadro sanzionatorio assai articolato nonché dalla previsione di un ampio diritto al risarcimento dei danni subiti dagli interessati. L'undicesimo considerando del GDPR prevede infatti che “Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.”
Il quadro sanzionatorio è disciplinato dagli artt. 82 ss. del nuovo Regolamento (che prevedono sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo), ma una corretta comprensione delle misure correttive messe in campo dal GDPR non può prescindere dalla lettura dell’art. 58, in cui sono elencati i poteri delle autorità di controllo dei vari Stati membri: di indagine, correttivi, autorizzativi.
L'esercizio di tali poteri può risultare per la vita di un’organizzazione anche più pericoloso dell'adozione di sanzioni amministrative pecuniarie. Si pensi, per esempio, al divieto di trattamento di dati, che per alcune tipologie di aziende potrebbe avere un effetto dirompente per la loro stessa sopravvivenza.
Ai sensi dell’art. 84 spetta poi agli Stati membri stabilire le norme inerenti alle ulteriori sanzioni, non amministrative; tra le altre sanzioni possono rientrare ai sensi del considerando 149 quelle penali. Gli Stati dovranno notificare le norme interne adottate alla Commissione entro il 25 maggio 2018. Il legislatore italiano dovrà pertanto adeguare la legislazione penale interna entro il 25 maggio in modo da renderla coerente con il Regolamento 679/2016.
La violazione della norme del Regolamento 679/2016 può comportare oltre alle misure sanzionatorie esaminate anche la richiesta di risarcimento del danno da parte degli interessati ai sensi dell’art. 82, che recita: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento”.
Si tratta di una responsabilità da attività pericolosa, in quanto il trattamento dei dati personali è di per sé un’attività pericolosa tollerata dall’ordinamento per l’utilità sociale e l’indiscusso interesse economico. In tal senso depongono sia il considerando 75 del Regolamento, secondo cui “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale”, sia l’art. 15 del Codice Privacy che nel disciplinare l’obbligo di risarcimento del danno richiama espressamente l’art. 2050 c.c., sulla responsabilità da attività pericolosa.
Per un approfondimento sui profili sanzionatori e risarcitori della nuova disciplina, è possibile consultare il seguente link.