Sanzioni privacy

Il Nuovo Regolamento UE n. 679/2016 inasprisce, a decorrere dal 25 maggio 2018, le sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fino al 25 maggio 2018 restano in vigoe le sanzioni previste dal D.lgs 196/2003 che prevede violazioni amministrative, illeciti penali e responsabilità civile per danni.
Il decreto legge 30 dicembre 2008, n. 207 convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14 ha notevolmente inasprito le sanzioni previste in materia di privacy modificando gli articoli del Titolo III del Codice della privacy.
Le sanzioni possono essere comminate per violazioni amministrative e penali.


Violazioni amministrative

L'omessa o inidonea informativa all'interessato, in violazione delle disposizioni di cui all'articolo 13, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro (art. 161). L'informativa costituisce un obbligo inderogabile anche per gli enti pubblici che, invece, sono esonerati dalla richiesta del consenso.
La cessione irregolare dei dati è punita con la sanzione da diecimila euro a sessantamila euro (art. 162).

La comunicazione di dati sanitari non attraverso personale medico è punita con la sanzione da mille euro a seimila euro (art. 162).
Il trattamento di dati personali effettuato illecitamente o in violazione delle misure minime di sicurezza prevede la sanzione da diecimila euro a centoventimila euro. Nei casi di violazione delle misure minime di sicurezza (art.33) è escluso il pagamento in misura ridotta (art. 162).
L'inosservanza delle prescrizioni e divieti disposti dal Garante con propri provvedimenti comporta la sanzione del pagamento di una somma da trentamila euro a centottantamila euro (art. 162).
La violazione del diritto di opposizione nelle forme previste dall'articolo 130, comma 3-bis, e dal relativo regolamento è assoggettata alla sanzione da diecimila euro a centoventimila euro (art. 162).
Alle violazioni in materia di conservazione dei dati di traffico dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro (art. 162bis).
Le Sanzioni previste per le violazioni commesse da fornitori di servizi di comunicazione elettronica accessibili al pubblico ammontano, in base alla tipologia, da un minimo di ventimila euro a un massimo di centocinquantamila euro con un picco che può raggiungere il 55 del volume d'affari della società che ha commesso la violazione (art. 162ter).
L'omessa o incompleta notificazione da parte di chiunque vi sia tenuto è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (art. 163).
L'omessa informazione o esibizione dei documenti richiesti dal Garante è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro (art. 164).

Sono previsti, ai sensi dell'art. 164bis, ulteriori aggravi delle sanzioni nei seguenti casi:
- nel caso di più violazioni commesse, anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta.
- in caso di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, le sanzioni sono applicate in misura pari al doppio.
- le sanzioni possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.
 

Nei casi di minore gravità, tenendo conto della natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti per le sanzioni sono applicati in misura pari a due quinti.
In tutte le ipotesi di violazione può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione in uno o più giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore (art. 165).



Illeciti penali 

Ai sensi dell'art. 167 il trattamento illecito, la comunicazione o diffusione dei dati personali al fine di trarne per sè o per altri profitto o di recare ad altri un danno, è punito con la reclusione da sei mesi a tre anni.
Le false dichiarazioni e notificazioni che si estrinsecano in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, è punito con la reclusione da sei mesi a tre anni (art. 168).
Fatto salvo l'adempimento delle prescrizioni per la regolarizzazione fissate dal Garante, chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza dei dati personali previste dall'articolo 33 è punito con l'arresto sino a due anni (art. 169).
Ai sensi dell'art. 170 l'inosservanza dei provvedimenti del Garante comporta la reclusione da tre mesi a due anni.
La condanna per uno dei delitti previsti dal codice della privacy importa la pubblicazione della sentenza (art. 172).



La responsabilità civile per danni 

La responsabilità civile in caso di danno da informazione prevista dal Codice Privacy si basa sul principio che chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento dei danni (art. 15 Codice Privacy).
C'è da considerare, inoltre, che il trattamento di dati è considerato dal punto di vista civilistico un’attività pericolosa (art. 2050 c.c.). Da ciò consegue che chi effettua il trattamento, ovvero chi esercita l’attività pericolosa risponderà del danno indipendentemente dal dolo o dalla colpa e potrà liberarsi dall’obbligo di risarcimento unicamente se prova di avere adottato tutte le misure idonee ad evitare il danno.
Quindi, i danni per cause ignote rimangono a carico di chi esercita l’attività se non ha predisposto i necessari accorgimenti preventivi. Se, invece, chi esercita l’attività ha predisposto le misure idonee, potrà essere ritenuto esente da responsabilità sulla base della modalità di organizzazione dell’attività pericolosa.
Chi esercita l’attività pericolosa non dovrà e non potrà accontentarsi dell’adozione delle misure minime di sicurezza, previste dall’Allegato B al Codice Privacy, se si conoscono misure più efficaci. L’adempimento delle misure minime previste dal Codice, implica, infatti, unicamente l’esonero dalle responsabilità penali previste dall’articolo 169 dello stesso.
Il danno risarcibile comprende sia il danno patrimoniale che quello non patrimoniale.
Sulla base della sentenza Cass. Civ. sez. III, 31 maggio 2003, n. 8828) consegue la possibilità di risarcire anche un danno che derivi da un illecito non qualificabile come illecito penale.
La tutela civile in materia di tutela della riservatezza è ulteriormente favorita in caso di pericolo, di un danno grave o irreparabile. In questa previsione il giudice può emanare provvedimenti urgenti con decreto motivato, fissando l’udienza di comparizione entro quindici giorni.