Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danni.
Riportiamo di seguito un riassunto delle principali norme in materia, un nostro commento in merito e un riepilogo di quelli che, visto l'attuale apparato sanzionatorio, a nostro avviso risultano essere gli adempimenti prioritari.
Gli illeciti penali
Trattamento illecito di dati (Art. 167 Codice privacy) | Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a tre anni. |
| Falsità nelle dichiarazioni e notificazioni al Garante (Art. 168 Codice privacy) | Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. |
| Misure di sicurezza (Art. 169 Codice privacy) | Chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 Euro. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario. (…) Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato. |
| Inosservanza di provvedimenti del Garante (Art. 170 Codice privacy) | Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante, è punito con la reclusione da tre mesi a due anni. |
Le violazioni amministrative
Omessa o inidonea informativa all’interessato (Art.161 Codice privacy) | Sanzioni da 3000 a 18000 Euro, oppure da 5.000 a 30.000 Euro se dati sensibili. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. |
| Omessa o incompleta notificazione (Art. 163 Codice privacy) | Sanzioni da 10.000 Euro a 60.000 Euro ed in più condanna alla pubblicazione della sentenza. |
| Omessa informazione o esibizione al Garante (Art. 164 Codice privacy) | Sanzioni da 4.000 a 24.000 Euro. |
| Cessione illecita di dati (“Altre fattispecie”, Art. 162 Codice privacy) | La cessione dei dati in violazione della normativa sul trattamento di dati personali è punita con la sanzione amministrativa da 5.000 a 30.000 Euro. |
| Pubblicazione della sentenza (“Pene accessorie”, Art. 172 Codice privacy) | La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza. |
La responsabilità civile per danni
Danni cagionati per effetto del trattamento (Art. 15 Codice privacy) | Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. E’ risarcibile anche il danno non patrimoniale. |
Commento sulle sanzioni penali, amministrative e civili previste dal Codice privacy
Già da una prima analisi delle norme, ciò che si nota è la severità delle sanzioni penali previste, che arrivano sino a 3 anni di reclusione. Le sanzioni pecuniarie, invece, arrivano sino a 90.000 Euro.
Un’altra cosa importante da rilevare è la potenziale vastità di applicazione dell’Art. 167 sul trattamento illecito di dati, che se nella realtà (la formulazione da noi proposta sopra è un riassunto) fa riferimento a delle casistiche determinate perché sia applicabile, nondimeno appare potersi comunque configurare una sua applicabilità abbastanza estesa.
Soprattutto, tale articolo è specificamente applicabile nei casi di mancato ottenimento del consenso, quando previsto come obbligatorio. Ovviamente il consenso deve ottenersi previa presentazione di un’idonea informativa, per cui anche questa deve ritenersi un adempimento molto importante.
Inoltre, è da rilevare come le sanzioni penali previste per le misure minime di sicurezza sono applicabili anche alla mancata redazione od aggiornamento del Documento Programmatico sulla Sicurezza, in quanto l’Art. 34 del Codice privacy stabilisce che la redazione di tale documento fa parte delle misure minime di sicurezza.
Le sanzioni penali previste dal Codice privacy potrebbero essere applicabili (sebbene si debba sottolineare che l’interpretazione sia molto opinabile, in quanto le norme non consentono un’interpretazione chiara) anche ad altre inadempienze, come ad esempio la mancata formazione del personale, richiamata dall’Art. 19 del disciplinare tecnico allegato al Codice privacy, che tratta del Documento Programmatico sulla Sicurezza che a sua volta è una misura minima di sicurezza. Il fatto che, oltre alle fattispecie direttamente previste, le sanzioni penali potrebbero essere applicate anche ad altre inadempienze, con un potere discrezionale abbastanza significativo da parte dello specifico giudice, dovrebbe ovviamente suggerire alle imprese di non correre rischi ed essere sollecite nell’effettuare gli adempimenti previsti dalla legge.
Per quel che concerne la responsabilità civile per danni, il Codice privacy qualifica il trattamento dei dati personali come attività pericolosa, ex. art. 2050 c.c., ed è da evidenziare come ciò comporti un’inversione dell'onere della prova nell'azione risarcitoria, per cui tale onere viene a gravare sull'azienda, che è tenuta a dimostrare di avere applicato “tutte le misure di sicurezza più idonee” (quindi con la miglior tecnologia ed organizzazione possibile) a garantire la sicurezza dei dati personali gestiti. Cosa che ovviamente rende estremamente più difficile uscire indenni da un eventuale giudizio. Dunque la non applicazione delle misure idonee di sicurezza rende molto più alto il rischio di ritrovarsi soggetti e poi perdenti in una eventuale azione di responsabilità per danni.
Gli adempimenti privacy prioritari in considerazione delle sanzioni previste
Come evidenziato anche nella sezione Adempimenti, visto l’attuale quadro sanzionatorio, fermo restando che ci si dovrebbe adeguare a tutte le prescrizioni previste dal Codice privacy, sembrano potersi ritenere come assolutamente prioritarie:
- la redazione del Documento Programmatico sulla Sicurezza;
- l’adeguamento alla misure minime di sicurezza;
- la redazione e presentazione delle informative e, quando previsto, l’ottenimento del consenso degli interessati;
- la redazione e consegna delle lettere di incarico ai componenti del personale;
- la nomina dei responsabili esterni;
- la formazione del personale;
- per chi vi è tenuto, la notifica al Garante.
| ILLECITO | SANZIONE AMMINISTRATIVA | SANZIONE PENALE |
| Omessa o inidonea informativa all’interessato (Art. 161, D. Lgs. 30 giugno 2003, n. 196) | - da 3.000 a 18.000 euro per violazione dei dati ex art. 13; - da 3.000 a 18.000 euro per violazione dei dati sensibili o giudiziari, - da 5.000 a 30.000 e fino al triplo se risulta inefficace per le condizioni economiche del contravventore | |
| Altre fattispecie: [violazione art. 16, 1° comma lett. B) o di altre disposizioni in materia di disciplina del trattamento dei dati personali ]; (Art. 162, D. Lgs. 30 giugno 2003, n. 196) | - da 5.000 a 30.000 euro | |
| Altre fattispecie [violazione art. 84 1° comma] (Art. 162, D. Lgs. 30 giugno 2003, n. 196) | - da 5.000 a 3.000 euro | |
| Omessa o incompleta notificazione (Art. 163, D. Lgs. 30 giugno 2003, n. 196) | - da 10.000 a 60.000 euro Sanzione accessoria: pubblicazione ordinanza - ingiunzione | |
| Omessa informazione o esibizione al Garante (Art. 164, D. Lgs. 30 giugno 2003, n. 196) | - da 4.000 a 24.000 euro | |
| Trattamento illecito di dati (Art. 167, D. Lgs. 30 giugno 2003, n. 196) | - Reclusione da 6 a18 mesi (se dal fatto deriva nocumento); - Reclusione da 6 a24 mesi (se il fatto consiste nella comunicazione e/o diffusione). - Reclusione da 1 a 3 anni (se il fatto costituisce reato più grave: al fine di trarre profitto per se o altri o per arrecare danno). | |
| Falsità nelle dichiarazioni e notificazioni al Garante (Art. 168, D. Lgs. 30 giugno 2003, n. 196) | - Reclusione da 6 mesi a 3 anni. | |
| Inadeguatezza delle Misure minime disicurezza (Art. 169, D. Lgs. 30 giugno 2003, n. 196) | - Reclusione fino a 2 anni o ammenda - da 10.000 a 50.000 euro | |
| Inosservanza di provvedimenti del Garante (Art. 170, D. Lgs. 30 giugno 2003, n. 196) | - Reclusione da 3 mesi a 2 anni. |
Nessun commento:
Posta un commento