Facilités des recours et lourdeurs des sanctions

Facilità di ricorso e severità delle sanzioni

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Nonostante la sua intelligenza e coerenza, nonostante l'unità di tutti i Paesi dell'Unione Europea nel far conoscere e far rispettare le sue disposizioni, il GDPR, come ogni regolamento, mancherebbe di credibilità, e quindi di efficacia, se non fosse accompagnato dalla possibilità di sanzioni significative in caso di inosservanza da parte di chi dovrebbe applicarlo.

Fedeli alla preminenza che attribuiscono agli individui rispetto alle organizzazioni, i redattori hanno previsto rimedi semplici da attuare e suscettibili di comportare condanne e sanzioni in caso di accertata condotta scorretta. L'articolo 77 è chiaro al riguardo: "...ogni interessato ha il diritto di proporre reclamo a un'autorità di controllo... qualora ritenga che il trattamento dei dati personali che lo riguardano violi il presente regolamento". E se la decisione dell'autorità di controllo, che ha tre mesi di tempo per trattare la richiesta, non soddisfa l'interessato, quest'ultimo può presentare ricorso giurisdizionale (articolo 78).

Ma l'azione può essere intentata anche direttamente contro il titolare del trattamento. Il titolo dell'articolo 79 non lascia ambiguità al riguardo: "Diritto a un ricorso giurisdizionale effettivo contro il titolare del trattamento o il responsabile del trattamento". Il paragrafo 1 specifica: "...ogni interessato ha il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati...".

Possiamo quindi osservare come sia molto semplice avviare un'azione, prima amministrativa, poi eventualmente giudiziaria, nei confronti di un ente e/o di una persona che tratta dati. È sufficiente che l'interessato "ritenga" che il trattamento non sia conforme per agire. Può agire autonomamente o farsi rappresentare da "un organismo, un'organizzazione o un'associazione senza scopo di lucro... i cui obiettivi statutari siano di interesse pubblico e che operi nel settore della protezione dei diritti e delle libertà delle persone interessate..." (art. 80-1). Meglio ancora, "gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall'interessato, abbia, nello Stato membro in questione, il diritto di proporre reclamo all'autorità di controllo..." (art. 80-2). In altre parole, il GDPR lascia agli Stati membri la facoltà di attribuire a una struttura specializzata il diritto di avviare essa stessa un'azione, anche se non è stata adita da una persona.

Tali disposizioni lasciano inoltre spazio alle azioni collettive, già introdotte in Francia dalla legge Hamon del 2014 e poi dalla legge del 18 novembre 2016, nota come "modernizzazione della giustizia nel XXI secolo".e secolo." Quest'ultima legge consente solo la cessazione del reato. Il GDPR apre la possibilità di un risarcimento, anche se questo appare più individuale che collettivo.

Infatti, dopo il diritto di ricorso, viene a sua volta stabilito il diritto al risarcimento: «Chiunque abbia subito un danno materiale o morale a causa di una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno subito dal titolare del trattamento o dal responsabile del trattamento» (art. 82-1).

Chi pagherà questo risarcimento? Le cose sono chiare: "Qualsiasi titolare del trattamento coinvolto nel trattamento risponde del danno causato dal trattamento che costituisce una violazione del presente regolamento. Un responsabile del trattamento risponde del danno causato dal trattamento solo se non ha rispettato gli obblighi previsti dal presente regolamento" (art. 82-2). Entrambe le parti possono comunque dimostrare l'assenza di colpa: "Un titolare del trattamento o un responsabile del trattamento è esonerato dalla responsabilità ai sensi del paragrafo 2 se dimostra che l'evento che ha causato il danno non gli è in alcun modo imputabile" (art. 82-3).

Quando sono coinvolti più attori, "ciascuno dei titolari del trattamento o dei responsabili del trattamento è ritenuto responsabile per il danno nella sua interezza, al fine di garantire all'interessato un risarcimento effettivo" (art. 82-4). Ciò non impedisce quindi il risarcimento: "Quando un titolare del trattamento o un responsabile del trattamento ha, conformemente al paragrafo 4, risarcito integralmente il danno subito, ha il diritto di esigere dagli altri titolari del trattamento o responsabili del trattamento che hanno partecipato allo stesso trattamento la quota di risarcimento corrispondente alla loro quota di responsabilità per il danno" (art. 82-5).

Ora che le responsabilità sono state stabilite, come possono essere imposte le sanzioni? L'autorità di controllo ha tutti i poteri necessari per richiamare l'attenzione del titolare o del responsabile del trattamento, tra cui imporre una limitazione o un divieto di trattamento, ordinare la rettifica o la cancellazione dei dati personali, sospendere i trasferimenti, revocare la certificazione e imporre una sanzione amministrativa pecuniaria (articolo 58-2).

L'articolo 83 stabilisce le condizioni per l'irrogazione di sanzioni amministrative pecuniarie, che devono essere "proporzionate e dissuasive" (art. 83-1). Gli 11 criteri elencati al paragrafo 2 dell'articolo per "decidere se imporre una sanzione amministrativa pecuniaria" indicano che ciascuna sanzione sarà determinata caso per caso, tenendo conto, ovviamente, "se la violazione è stata commessa con dolo o colpa". I paragrafi 4 e 5 elencano le diverse possibili violazioni e stabiliscono l'importo massimo delle sanzioni: fino a 20.000.000 di euro o, per un'impresa, fino a 4.100.000 di euro del suo fatturato mondiale annuo, a seconda di quale sia superiore. Basti pensare che sanzioni di tale importo possono seriamente compromettere la stabilità di un'impresa (a titolo informativo, le sanzioni massime applicate dalla CNIL negli ultimi anni ammontavano a 150.000 euro).

Per quanto riguarda i rimedi che potrebbero essere richiesti e ottenuti in caso di azione legale, sia contro la decisione dell'autorità di controllo sia contro il titolare del trattamento o il responsabile del trattamento, possiamo supporre che saranno anch'essi "proporzionati e dissuasivi" (queste due parole insieme suonano come un ossimoro, ma chiaramente non sono nello spirito del GDPR).

L'autorità di controllo è quindi onnipotente, il che, tra l'altro, rende questo tipo di organismo un'istituzione che combina tre poteri – legislativo (anche se solo indicativi della legge), esecutivo e giudiziario – solitamente separati nelle grandi democrazie. Il solo mancato rispetto di un'ingiunzione emessa dall'autorità di controllo ai sensi dell'articolo 58-2 può comportare la sanzione massima (art. 83-5). In caso di trattamento transnazionale, la sanzione sarà adottata congiuntamente dalle autorità di controllo interessate.

Altre sanzioni, «in particolare per le violazioni che non sono soggette alle sanzioni amministrative pecuniarie previste dall'articolo 83», possono essere decise dagli Stati membri (art. 84-1).

Ricordiamo ancora una volta il principio fondamentale: ognuno deve mantenere la proprietà e il controllo dei propri dati personali. Qualsiasi organizzazione che violi questo principio può essere sanzionata.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT