Controlli e applicazione delle disposizioni sanzionatorie dopo l’entrata in vigore del D. Lgs 101/18

Il nostro sistema normativo attuale presenta non poche complessità.

Da una parte il GDPR (punto di riferimento principale) e, da pochi giorni in vigore, il decreto 101 composto da regole che vivono di vita propria e quelle che invece hanno modificato il Codice Privacy (Decreto Legislativo 196 del 2003).

L’Autorità Garante, nei prossimi mesi, dovrà gestire, da un punto di vista sanzionatorio, ciò che è stato comminato prima del 25 maggio 2018 e allo stesso tempo vigilare sull’applicazione del GDPR, in ottemperanza al “periodo” imposto dal decreto 101.

Per ciò che concerne i controlli, secondo le impostazioni della prima fase, è importante prendere in esame l’art. 22 comma 13 del D.lgs 101/18 che afferma:

“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”

Sta a significare che il Garante nei primi otto mesi sarà più clemente nell’erogare le sanzioni operando una valutazione di tanti fattori, così da dare a imprese e pubbliche amministrazioni modo di prendere le misure rispetto ai nuovi obblighi. Il 26 luglio scorso con la Deliberazione Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2018, l’Autorità ha reso pubblica l’attività ispettiva per il periodo luglio – dicembre 2018, realizzata di concerto con il Nucleo speciale della Guardia di Finanza, preposta al controllo e all’erogazione delle sanzioni per la violazione della normativa vigente.Essa è indirizzata agli accertamenti relativi a profili di attenzione generale per categorie di interessati nell’ambito di trattamenti effettuati da società che gestiscono banche dati di rilevanti dimensioni o soggetti che realizzano attività di telemarketing oppure istituti di credito.

Le verifiche riguardano la legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto. Al punto b, la Deliberazione estende l’attività ispettiva nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e sulle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, nonché sul rispetto dell’obbligo di informativa e sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.L’Ufficio del Garante resta comunque libero di avviare ulteriori attività istruttorie d’ufficio, oltre a quelle descritte nella Deliberazione, anche in relazione ai reclami o alle segnalazioni pervenute. Queste ultime risultano decisamente in aumento registrando un +42% dall’entrata in vigore del GDPR.

Viene da porsi il quesito sul fatto che l’art. 22 comma 13 previsto dal D.lgs 101/18 possa essere in dissonanza con l’attività prevista dal Garante della Privacy nella Deliberazione suddetta. Esso deve invece esser letto nella semplice prospettiva che, per i seguenti 8 mesi dall’entrata in vigore del decreto, i controlli della Guardia di Finanza saranno più clementi.

Il decreto 101/18 introduce il nuovo articolo 166 rubricato Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimento correttivi e sanzionatori.Il primo comma dell’articolo citato elenca una serie di violazioni che saranno soggette alla sanzione amministrativa di cui all’art.83, paragrafo 4, del Reg. UE 679/16.
Nello specifico, in conformità al paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.Le disposizioni riguardano:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Il secondo comma del medesimo art. 166 D.lgs 101/18 elenca altre violazioni che saranno sottoposte alla sanzione amministrativa di cui all’art. 83, paragrafo 5 del Reg. UE 679/16, ed in particolare esse riguardano:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6,7  e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del Capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

Quanto detto equivale a dire che sarà il Garante a stabilire in concreto l’entità della pena pecuniaria in rapporto alla violazione riscontrata in sede ispettiva.