DIRITTO & PRATICA DEL LAVORO N. 40/2018 – VIOLAZIONI DELLA PRIVACY E DEFINIZIONE AGEVOLATA – Monica Lambrou

Come è noto, il legislatore europeo, per mezzo del Regolamento Ue 2016/679 (c.d. GDPR), oltre ad introdurre nuovi principi, adempimenti e meccanismi di gestione in merito al trattamento dei dati personali applicabili su tutto il territorio dell’Unione europea, ha previsto, a carico delle imprese che pongano in essere violazioni del Regolamento stesso a vario titolo, ingenti sanzioni di natura amministrativa. Occorre ricordare, a tal proposito, come, a norma dell’art. 83, Reg. 2016/679, i titolari del trattamento che agiscano in contrasto con quanto prescritto dal GDPR (o, eventualmente, della normativa interna) possano vedersi addebitare sino a 10.000.000 di euro (o, nel caso delle imprese, fino al 2% del fatturato mondiale annuo riferito all’esercizio precedente) in caso di violazioni che riguardino: il consenso dei minori, i trattamenti che non richiedono l’identificazione, i principi di privacy by design e privacy by default, la contitolarità del trattamento, la rappresentanza del titolare, il responsabile del trattamento, le istruzioni e l’autorità del titolare del trattamento, la documentazione relativa a ciascun trattamento, la cooperazione con l’Autorità, la sicurezza del trattamento, i meccanismi di notificazione, comunicazione di violazioni e consultazione preventiva, l’obbligo della DPIA, la designazione e i compiti del DPO, ovvero i processi di certificazione.

Sanzioni ben più rilevanti (sino a 20.000.000 di euro o, nel caso delle imprese, fino al 4% del fatturato mondiale annuo riferito all’esercizio precedente) sono, invero, riservate a chi infranga le norme relative: ai principi base del trattamento dei dati, alle condizioni per il consenso, ai diritti degli interessati al trattamento, al trasferimento dei dati verso Paesi terzi o organizzazioni internazionali, alla mancata ottemperanza ad un ordine ovvero ad una limitazione (temporanea o definitiva ) disposti dal Garante per la protezione dei dati personali. A ciò si aggiunga, con riferimento all’ordinamento italiano, l’ulteriore previsione di apposite fattispecie penali, tra cui il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante, la violazione in materia di controlli a distanza dei lavoratori e indagini sulle loro opinioni politiche, di cui al D.Lgs. n. 196/2003 (c.d. Codice della privacy, artt. 167-171), come modificato dal recentissimo D.Lgs. 10 agosto 2018, n. 101. Lo stesso Decreto di adeguamento richiamato ha previsto esplicitamente un periodo di applicazione pressoché “attenuato” dell’apparato sanzionatorio descritto; il Garante per la protezione dei dati personali sarà, infatti, chiamato, per i primi otto mesi dall’entrata in vigore (e, quindi, fino al 19 maggio 2019 – art. 22, c. 13, D.Lgs. n. 101/2018), a pronunciarsi tenendo “conto… della fase di prima applicazione delle disposizioni”.

Le violazioni ante GDPR

Se per la fase successiva all’entrata in vigore del GDPR, non sussistono particolari dubbi interpretativi in merito all’applicabilità delle sanzioni, il discorso muta considerevolmente con riferimento alle violazioni del “vecchio” Codice della privacy (il D.Lgs. n. 196/2003 nella sua originaria formulazione) poste in essere prima del 25 maggio 2018. A tal proposito, lo stesso legislatore italiano si è preoccupato di prevedere una disposizione specifica riservata ai procedimenti già instaurati e di configurare, con ciò, un meccanismo di definizione agevolata degli stessi. A norma dell’art. 18, comma 1, D.Lgs. n. 101/2018, infatti, in deroga a quanto previsto dall’art. 16, legge 24 novembre 1981, n. 689 (che, per i pagamenti di sanzioni in misura ridotta prescrive una riduzione “pari alla terza parte del massimo della sanzione prevista per la violazione commessa”), per i procedimenti sanzionatori non ancora definiti “è ammesso il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale” da effettuarsi entro novanta giorni. Si tratta, nello specifico, di una vera e propria oblazione amministrativa – o oblazione in senso atecnico (da non confondere con l’oblazione “in senso proprio”, prevista unicamente in materia penale ai fini della riduzione delle ammende e di estinzione dei reati contravvenzionali ai sensi degli artt. 162 e 162-bis Codice penale) – che consente al soggetto interessato, su base esclusivamente volontaristica, di bloccare in itinere il procedimento sanzionatorio.

In termini generali, allorquando abbia luogo un’oblazione, con riferimento ad una sanzione di natura amministrativa, il soggetto sanzionato esercita la facoltà di avvalersi di un meccanismo conciliativo, che gli consente, appunto, di arrestare un procedimento in corso di svolgimento, da un lato e, dall’altro, lo stesso è chiamato a rinunciare alla contestazione relativa alla validità dell’accertamento o, comunque, ad ogni valutazione ulteriore nel merito della controversia. La sanzione si intende, poi, oblata solo in seguito alla corresponsione, da parte del trasgressore, di una somma di denaro all’Amministrazione precedentemente – e specificatamente – individuata da una disposizione di rango legislativo.

Nell’ipotesi considerata dal D.Lgs. n. 101/2018, in ogni caso, sono fatti salvi gli atti già eventualmente adottati prima dell’entrata in vigore del Decreto. Invero, la possibilità di “liberarsi” per mezzo della definizione agevolata non si estende a qualsivoglia controversia, bensì esclusivamente alle ipotesi di violazione delle norme del “vecchio” Codice, contemplate dall’art. 18 e, quindi, riguardanti:

• l’omessa o inidonea informativa all’interessato (art. 161, D.Lgs. n. 196/2003);

• le ipotesi di cessione dei dati, di misure di sicurezza, di inosservanza delle prescrizioni di misure o divieti, di diritto di opposizione elencate dall’art. 162, D.Lgs. n. 196/2003;

• la conservazione dei dati di traffico (art. 162bis D.Lgs. n. 196/2003);

• le regole in materia di fornitori di servizi di comunicazione elettronica accessibili al pubblico (art. 162-ter, D.Lgs. n. 196/2003);

• l’omessa o incompleta notificazione (art. 163, D.Lgs. n. 196/2003);

• l’omessa informazione o esibizione al Garante (art. 164, D.Lgs. n. 196/2003);

• le misure minime di sicurezza (art. 33, D.Lgs. n. 196/2003).

Le Faq del Garante per la protezione dei dati personali

In virtù della disposizione di cui sopra e della previsione di una definizione agevolata dei procedimenti pendenti, il Garante per la protezione dei dati personali – in considerazione dei dubbi interpretativi che ne sono scaturiti – è intervenuto a fornire idonei chiarimenti (prettamente operativi) in favore dei soggetti pubblici o privati interessati. In particolare, sono state pubblicate sul sito web dell’Autorità di controllo (www.garanteprivacy.it) le c.d. “Faq” del 1° ottobre 2018, contenenti istruzioni sui modi di fruizione della misura e, per di più, specifiche indicazioni in merito alle “modalità per il pagamento delle sanzioni, l’importo da pagare per ciascuna violazione commessa e i casi di esclusione dalle agevolazioni” (vedasi, in questo senso, il Comunicato stampa del Garante per la protezione dei dati personali, doc-web n. 9045581 del 1° ottobre 2018).

Ambito di applicazione

Il Garante ha provveduto, in primo luogo, a chiarire l’ambito di applicazione soggettivo dell’agevolazione. Nello specifico, ad essere coinvolti sono i soggetti che si siano, in primo luogo, resi protagonisti di una violazione in materia di trattamento dei dati, purché nelle suesposte ipotesi espressamente individuate dall’art. 18, D.Lgs. n. 101/2018. Ciò, tuttavia, non può ritenersi sufficiente, posto che risulta, altresì, necessario che gli stessi contravventori abbiano già ricevuto (alla data del 25 maggio 2018, cui si deve l’entrata in vigore del Regolamento Ue 2016/679) l’atto con il quale sono stati notificati gli estremi della violazione ovvero – a maggior ragione – l’atto di contestazione immediata di cui all’art. 14, legge 24 novembre 1981, n. 689. In ogni caso, non è possibile accedere all’agevolazione allorquando il procedimento sanzionatorio precedentemente instaurato “si sia nel frattempo concluso con l’adozione di un provvedimento di ordinanza-ingiunzione da parte del Garante”. Ove, poi, l’eventuale atto di contestazione o di notifica degli estremi della violazione sia pervenuto al contravventore in epoca successiva al 25 maggio 2018 – seppur precedentemente all’entrata in vigore del D.Lgs. n. 101/2018 (19 settembre 2018) – il procedimento non può concludersi in modalità agevolata, cosicché continueranno a trovare applicazione le regole ordinarie in materia di iter innanzi al Garante, “che concluderà il procedimento sanzionatorio con un provvedimento di ordinanza-ingiunzione o di archiviazione”, nonché le norme generali sulla comminazione di sanzioni amministrative di cui alla citata legge n. 689/1981.

Gli importi

Come detto, chi si avvalga della facoltà di provvedere al pagamento della sanzione in misura ridotta è chiamato al versamento di una somma pari ai due quinti del minimo edittale previsto a livello legislativo per la singola – e specifica violazione. Trattasi di un regime particolarmente favorevole ed incentivante all’immediata risoluzione delle vertenze. Ebbene, l’Autorità di controllo, prendendo in considerazione le ipotesi esplicitamente indicate dall’art. 18, ha ritenuto opportuno renderne note le rispettive quantificazioni, in ragione degli importi minimi originariamente previsti dal Codice della privacy.

Dalla lettura della tabella appositamente predisposta dal Garante, quindi, si ricavano le seguenti somme da versarsi ad opera del contravventore:

• omessa o inidonea informativa all’interessato = euro 2.400 (minimo edittale euro 6.000);

• violazioni in materia di cessazione del trattamento = euro 4.000 (minimo edittale euro 10.000);

• violazioni in materia di comunicazione dei dati personali idonei a rivelare lo stato di salute dell’interessato = euro 400 (minimo edittale euro 1.000);

• trattamento illecito di dati personali = euro 4.000 (minimo edittale euro 10.000);

• violazioni in materia di misure minime di sicurezza = euro 4.000 (minimo edittale euro 10.000);

• inosservanza dei provvedimenti di prescrizione di misure necessarie o dei divieti emessi dal Garante per la protezione dei dati personali: = euro 12.000 (minimo edittale euro 30.000);

• violazione del diritto di opposizione = euro 4.000 (minimo edittale euro 10.000);

• violazioni in materia di conservazione dei dati di traffico = euro 4.000 (minimo edittale euro 10.000);

• omessa comunicazione di avvenuta violazione dei dati personali al Garante da parte dei fornitori di servizi di comunicazione elettronica = euro 10.000 (minimo edittale euro 25.000);

• omessa comunicazione di violazione dei dati personali al contraente o altra persona: euro 60 (minimo edittale euro 150);

• omessa predisposizione dell’inventario delle violazioni dei dati personali: euro 8.000 (minimo edittale euro 20.000);

• omessa o incompleta notificazione: euro 8.000 (minimo edittale euro 20.000);

• omessa informazione o esibizione al Garante: euro 4.000 (minimo edittale euro 10.000);

• plurime violazioni in relazione a banche di dati di particolare rilevanza o dimensioni: euro 20.000 (minimo edittale euro 150.000).

Aggravanti ed attenuanti

Le eventuali fattispecie aggravanti o attenuanti che abbiano contribuito a determinare la quantificazione dell’importo indicato all’interno dell’atto di contestazione, sulla base dell’abrogato art. 164-bis, Codice, non assumono rilevanza ai fini dell’applicazione della misura ridotta. Quand’anche, infatti, in tale atto sia prevista una somma già di per sé ridotta ai 2/5 in forza dell’attenuante di cui all’art. 164-bis, comma 1, D.Lgs. n. 196/2003 (che consentiva, nell’irrogazione delle sanzioni, di discostarsi dai limiti e dai massimi previsti nei casi di minore gravità), a venire unicamente in rilievo è il minimo edittale previsto dal Codice della privacy, con ciò escludendosi la possibilità di una doppia riduzione.

Analogamente, allorquando al contravventore sia notificata la contestazione di un importo doppio rispetto ai limiti edittali in forza dell’aggravante di cui all’art. 164-bis comma 3 (prevista originariamente ogniqualvolta la violazione dei dati personali coinvolgesse numerosi interessati ovvero per altre ipotesi di maggiore gravità e “di maggiore rilevanza del pregiudizio per uno o più interessati”), dovrà – ancora – farsi riferimento ai minimi di cui al D.Lgs. n. 196/2003.

Pagamenti e destinazione dei proventi

Nelle Faq di cui sopra sono, altresì, riscontrabili indicazioni prettamente operative in merito alle modalità e alle tempistiche dei pagamenti da effettuarsi a carico dei trasgressori. In particolare, posto il termine determinato a livello legislativo dall’art. 18, D.Lgs. n. 101/2018, la facoltà di avvalersi del meccanismo di definizione agevolata deve intendersi esercitabile sino al 18 dicembre 2018 (“… il pagamento potrà essere effettuato entro novanta giorni dalla data di entrata in vigore del presente Decreto …”). Gli interessati sono chiamati a corrispondere le somme di cui sopra in favore della Tesoreria Provinciale dello Stato di Roma, con una delle seguenti modalità (e indicando, altresì, il numero della contestazione che li riguardi all’interno della causale):

• bollettino postale intestato alla stessa Tesoreria;

• versamento tramite istituti bancari;

• versamento tramite uffici postali.

Ove il contravventore si sia reso protagonista di più violazioni della normativa sulla privacy e abbia visto recapitarsi più di una contestazione (tutte, in ogni caso, antecedenti l’entrata in vigore del GDPR del 25 maggio 2018) ha la facoltà di optare per il pagamento con definizione agevolata anche solo per una – o alcune – delle sanzioni. In tale circostanza, come indicato nelle Faq, questi dovrà specificare – ancora una volta nella causale di pagamento – le specifiche violazioni per cui intende oblare (“si potrà fare riferimento, a tale riguardo, al numero della contestazione o all’articolo della norma violata”). Lo stesso Garante ha sottolineato come non sia necessario fornire idonea prova scritta, né una mera comunicazione, del pagamento effettuato all’Autorità. Ad ogni modo, è sempre possibile trasmettere detto documento in maniera volontaria, “facendo riferimento all’indirizzo di posta elettronica protocollo@pec.gpdp.it”. Come per ogni provento derivante dalle sanzioni previste dal Codice della privacy, le somme derivanti dalla definizione agevolata dei procedimenti “sono assegnate al bilancio dello Stato”.

Tuttavia, la legge prescrive un apposito meccanismo di riassegnazione. In particolar modo, in forza del nuovo art. 166, comma 7, D.Lgs. n. 186/2003, come sostituito dal D.Lgs. n. 101/2018, le entrate derivanti dal procedimento descritto vengono destinate, nella misura del cinquanta per cento totale annuo, all’apposito fondo (stanziato nel bilancio dello Stato e iscritto in idonea missione e programma di spesa del Mef) ex art. 156, comma 8 per la realizzazione di “specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante”. Per mezzo di tale fondo, infatti, il legislatore ha inteso provvedere alla copertura delle spese di funzionamento dell’Autorità, in ossequio a quanto disposto dal Regolamento Ue 2016/679 all’art. 52, par. 4 che impone agli Stati membri di dotare l’organismo “delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture” necessari per il corretto esercizio delle proprie funzioni e poteri.

Le alternative

Cosa accade al trasgressore che non intenda avvalersi del meccanismo di definizione agevolata? In detta circostanza, l’iter procedimentale vede diversi e possibili sviluppi, scrupolosamente richiamati nelle Faq in oggetto. In assenza del pagamento in misura ridotta entro la data del 18 dicembre 2018, questi ha a disposizione due possibili strade:

• provvedere al pagamento dell’intero importo originariamente contenuto nell’atto di contestazione;

• presentare nuove memorie difensive e proseguire il procedimento.

Nel primo caso, ossia di versamento della sanzione integrale, il soggetto è chiamato a provvedere spontaneamente entro “l’ulteriore termine di 60 giorni” e, quindi, fino alla data del 16 febbraio 2019. Una volta decorso il periodo indicato senza l’adempimento spontaneo del contravventore, “l’Ufficio procederà all’iscrizione a ruolo dell’intero importo indicato nell’atto” che finirà per assumere – in via automatica – il valore di ordinanza-ingiunzione ex art. 18, legge n. 689/1981 e rappresentando, come tale, titolo esecutivo senza notificazioni ulteriori. A ben vedere, tuttavia, ciò vale limitatamente ai casi in cui la misura della sanzione sia specificatamente determinata all’interno dell’atto di contestazione, posto che in assenza di detta indicazione il Garante per la protezione dei dati personali sarà chiamato all’adozione di un ulteriore provvedimento di ordinanza-ingiunzione che quantifichi concretamente l’importo da corrispondere.

Occorre rilevare che le ipotesi di trasmissione di una contestazione senza specifico riferimento all’ammontare riguardano, nella maggior parte dei casi, le violazioni relative alle misure minime di sicurezza (art. 33 e art. 162, comma 2-bis, D.Lgs. n. 196/2003), nonché le violazioni relative a “banche dati di particolare rilevanza o dimensioni” (art. 164-bis, comma 2, D.Lgs. n. 196/2003).

Nel secondo caso, per proseguire con l’ordinario iter di cui alla legge n. 689/1981, il contravventore può provvedere al deposito presso l’autorità competente di nuovi “scritti difensivi e documenti” di cui all’art. 18, legge n. 689/1981 entro ancora una volta – il 16 febbraio 2019. Il Garante, poi, provvederà entro 5 anni dall’avvenuta violazione (trattasi del termine prescrizionale previsto dall’art. 18, medesima legge) a emanare uno dei seguenti provvedimenti:

• ordinanza motivata di archiviazione, quando dall’analisi degli scritti di parte e dall’esame dei documenti emerga l’infondatezza dell’accertamento effettuato;

• ordinanza-ingiunzione (anch’essa motivata), in caso di fondatezza dell’accertamento: all’interno dell’ordinanza sono indicate le somme specifiche dovute dal contravventore, i dati dello stesso (e di eventuali altri coobbligati) e l’ingiunzione di pagamento.

Peraltro, occorre rilevare che, in forza dell’interruzione del termine di prescrizione “del diritto a riscuotere le somme dovute” operata dall’art. 18, comma 5, D.Lgs. n. 101/2018, lo stesso ha ricominciato a decorrere dalla data di entrata in vigore dell’intervento legislativo in oggetto (e, quindi, dal 19 settembre 2018), a ciò conseguendo la necessaria emanazione dei provvedimenti di cui sopra da parte del Garante entro la data del 19 settembre 2023. Ad ogni modo, in ossequio alle prescrizioni di cui alla legge n. 689/1981, è fatto salvo il diritto dell’ingiunto di optare per l’impugnazione del provvedimento del Garante, sia in caso di trasformazione automatica dell’atto di contestazione in ordinanza-ingiunzione per mancato pagamento, sia in caso di apposita ordinanza-ingiunzione emessa in seguito alla presentazione di memorie difensive. In particolare, al soggetto è concesso di avvalersi del procedimento di opposizione innanzi all’Autorità giudiziaria ordinaria di cui all’art. 22 della citata legge.

Questi dovrà, nello specifico, presentare un apposito ricorso (al giudice di pace ovvero al tribunale, sulla base delle norme di ripartizione della competenza) al quale allegare l’ordinanza-ingiunzione da impugnare, “entro il termine di trenta giorni dalla notificazione del provvedimento” o, per l’ipotesi di trasformazione automatica dell’atto di contestazione, dalla scadenza del termine per provvedere al pagamento integrale (16 febbraio 2019). Il giudice eventualmente investito si pronuncerà, nel rispetto delle procedure di cui all’art. 24, con sentenza di rigetto o di accoglimento inappellabile, ma ricorribile in Cassazione. Con riferimento a questa possibilità, occorre precisare che l’instaurazione del giudizio di opposizione non “sospende l’esecuzione del provvedimento”, cosicché gli importi delle sanzioni possono essere riscossi anche nelle more della definizione del procedimento, fatta salva l’eventualità di apposite ordinanze sospensive da parte del giudice stesso, emesse qualora concorrano gravi motivi.

CONTRIBUTO PUBBLICATO SU DIRITTO & PRATICA DEL LAVORO DI IPSOA

DIRITTO E PRATICA DEL LAVORO 20/2023 – STRUMENTI DI COMPLIANCE AZIENDALE: SEGNALAZIONI DI ILLECITI O IRREGOLARITÀ NEI RAPPORTI DI LAVORO – Avv.Monica Lambrou, Avv.Roberto Felli

MementoPiù di Giuffré 03.05.2023 – Whistleblowing: le implicazioni su normativa 231, privacy e sicurezza sul lavoro – Avv.Monica Lambrou – Avv. Clara Frattini

MementoPiù di Giuffré 03.04.2023 – Come funziona l’assemblea sindacale – Avv.Monica Lambrou

IL SOLE24ORE 24/04/2023 – Divieto di licenziamento e Naspi per i padri che fruiscono dei congedi – Avv.Monica Lambrou

Tuttolavoro Indicitalia – Casi & Questioni privacy – Avv.Monica Lambrou

Condividi sui social!

Post correlati

DIRITTO E PRATICA DEL LAVORO 20/2023 – STRUMENTI DI COMPLIANCE AZIENDALE: SEGNALAZIONI DI ILLECITI O IRREGOLARITÀ NEI RAPPORTI DI LAVORO – Avv.Monica Lambrou, Avv.Roberto Felli

MementoPiù di Giuffré 03.05.2023 – Whistleblowing: le implicazioni su normativa 231, privacy e sicurezza sul lavoro – Avv.Monica Lambrou – Avv. Clara Frattini

MementoPiù di Giuffré 03.04.2023 – Come funziona l’assemblea sindacale – Avv.Monica Lambrou

IL SOLE24ORE 24/04/2023 – Divieto di licenziamento e Naspi per i padri che fruiscono dei congedi – Avv.Monica Lambrou

Tuttolavoro Indicitalia – Casi & Questioni privacy – Avv.Monica Lambrou