Informativa sulle sanzioni applicate dai Garanti per la protezione dei dati in territorio europeo

Le istituzioni europee hanno elaborato il nuovo regolamento 679/2016. In questo nuovo documento sono state stabilite delle sanzioni estremamente elevate aggiungendo 1 o 2 zeri alle cifre precedentemente applicate dai vari Garanti con modalità diverse a seconda del paese in cui essi operano.

A tal proposito, anche se il regolamento ha stabilito i vari livelli di sanzione, i criteri con la quale devono essere applicati potrebbero variare da paese a paese ed ecco perché un’interpretazione autentica si attendeva quanto prima.

Di seguito proponiamo i principi fondamentali che regolano la determinazione e l'applicazione di sanzioni per violazioni in materia di dati personali:

1. La violazione del regolamento dovrà portare all’applicazione di sanzioni equivalenti: tutte le violazioni simili dovranno essere trattate in modo equivalente da tutti i Garanti.
2. Le sanzioni amministrative devono essere effettive, proporzionate e dissuasive: al momento all’interno del regolamento generale non esistono specifiche tecniche al riguardo. Sarà necessario attendere ulteriori delucidazioni.
3. Le sanzioni da applicare devono essere determinate caso per caso.

Di conseguenza, i garanti di ogni singolo paese dovranno far applicare le eventuali sanzioni seguendo questi tre principi. Naturalmente ricordiamo che il regolamento concede ai singoli Garanti la possibilità di applicare anche sanzioni penali.

Una delle situazioni che bisognerebbe evitare e su cui il regolamento porta attenzione è il valore dissuasivo. Al momento, le sanzioni applicate alle violazioni non sembrano frenare le aziende poiché il ricavato di quelle operazioni che hanno condotto alla violazione sono decisamente superiori rispetto alla sanzione stessa.

Ogni applicazione di sanzioni deve essere determinata alla fine di uno specifico ed individuale processo di valutazione senza adottare modelli standardizzati, inoltre non sempre in caso di violazione sarà necessario applicare una sanzione: il regolamento nello specifico prevede anche numerosi altri schemi correttivi per condurre il titolare ad avere un atteggiamento più appropriato.

L’intento dell’autorità europea è quella di utilizzare le sanzioni non solo con lo scopo di punire ma anche di educare, a tal proposito la sanzione potrebbe essere suddivisa in una parte economica ed una educativa fornendo all’azienda sanzionata delle indicazioni specifiche su cui lavorare.

Esistono naturalmente casi particolari che dovranno essere valutati in modo differente:

• Una violazione causata da un virus ignoto.
• Una violazione causata da un'evidente negligenza del titolare.
• Il numero degli interessati coinvolti.
• Violazioni sistematiche rispetto a violazioni occasionali.

Altro elemento che il garante dovrà andare a valutare sarà la durata della violazione:

• Se la durata della violazione si è prolungata poiché il titolare non ha adottato tempestivamente le misure correttive oppure per un'evidente negligenza nell’attuare una modifica secondo strumenti già noti, la sanzione applicata sarà maggiore.

Appare evidente che l’autorità Garante dovrà sviluppare dei processi di valutazione molto più articolati ed approfonditi, per giungere alla determinazione di applicare una sanzione amministrativa o altre misure altrettanto efficaci per mettere sotto controllo le conseguenze di una possibile violazione.

In allegato il il testo del nuovo regolamento. 

Nuovo regolamento 679/2016