Privacy: quante sanzioni?

Quali e quante sono le sanzioni che il legislatore ha predisposto per il mancato rispetto della normativa posta a protezione dei dati personali?

La risposta è in apparenza abbastanza agevole: è sufficiente, infatti, guardare l’apposita sezione del Codice della Privacy.

Tuttavia, il primo impatto con il testo normativo lascia sempre perplessi: infatti la maggior parte delle fattispecie è costruita con la tecnica del rinvio, ma spesso le norme richiamate riecheggiano altre norme: si veda a titolo esemplificativo l’art. 169 del Codice della Privacy – che, si precisa, è una sanzione penale e la compatibilità dell’esasperazione di questa tecnica normativa con il diritto penale non è pacifica. L’articolo 169, dunque, plasma la propria fattispecie richiamando l’articolo 33, che a sua volta richiama l’intero capo del Codice che lo contiene, e quindi include l’articolo 34, che a sua volta richiama l’allegato B, il cui presupposto di attuazione è in gran parte dipendente dalla designazione degli incaricati, dal che discende, per l’Autorità, che l’omessa designazione degli incaricati è punibile ai sensi dell’articolo 169 D. Lgs. 196/03. Una una Fiera dell’Est di fattispecie, che qualche autorevole commentatore ha definito “gioco dell’oca normativo”.

Le sanzioni amministrative

L’impianto sanzionatorio voluto dal legislatore è corredato sia da sanzioni amministrative che da sanzioni penali. Per esigenze di semplicità parlerò solo delle prime, anche se talvolta esse sono strettamente correlate alle seconde, coprendo le medesime ipotesi (anche su tale sovrapposizione ci sarebbe molto da dire, ma non è questa la sede). Sul punto si evidenzia, però, lo sforzo (ad oggi disatteso) dell’Autorità, che ciclicamente ripropone al legislatore l’esigenza di razionalizzazione e semplificazione del quadro sanzionatorio (qui l’esempio più recente).

In particolare le sanzioni amministrative, che possono raggiungere somme ragguardevoli, anche in ragione dei meccanismi di aumento dell’importo della sanzione previsti dal medesimo Codice, non costituiscono un numero chiuso di fattispecie.

Le sanzioni più facili da individuare sono quelle contenute in norme dedicate a un’unica fattispecie, tra cui si richiama a  titolo meramente esemplificativo e non esaustivo:

• omessa o inidonea informativa all’interessato – art. 161 Cod. Privacy;
• omessa o incompleta notificazione – art. 163 Cod. Privacy;
• omessa informazione o esibizione al Garante -art. 164 Cod. Privacy;

La prima delle fattispecie menzionate, però, è fonte di una sicurezza effimera: infatti, a ben guardare, l’Autorità ha il potere, ai sensi dell’articolo 13, di disporre modalità semplificate attraverso cui fornire l’informativa. L’informativa idonea, pertanto, non è soltanto quella che rispetta le indicazioni tassative dell’articolo 13, ma anche quella che rispetti le indicazioni eventualmente fornite dal Garante (si pensi a quanto previsto in ordine alla videosorveglianza).

La norma più insidiosa, però, è l’articolo 162 del Codice che sanziona diverse condotte, anche con commi che contengono rinvii a molteplici fattispecie. Non solo: come vedremo nel prosieguo è proprio l’articolo 162 del Codice che custodisce la più importante leva atta a scardinare il monopolio del legislatore sulle condotte sanzionabili, rimettendone gran parte al potere di creazione dell’Autorità Garante.

L’articolo 162 del Codice della Privacy

Sotto la rubrica “altre fattispecie” l’articolo 162 si struttura in cinque commi, (tre dei quali, però, ripetono il numero 2, differenziandolo con avverbi numerali latini): il primo riguarda la cessione dei dati, mentre il secondo riguarda la comunicazione dei dati sulla salute.

Dopo il comma due è inserito il comma 2 bis che è un comma che potremmo definire “matrioska”, dato che custodisce al suo interno una stratificazione di rinvii: da una parte, attraverso il richiamo all’articolo 33, si volge alle misure minime di sicurezza – la fattispecie coincide con quella delineata dall’articolo 169, che abbiamo visto sopra: le due sanzioni non sono alternative, ma si cumulano, assediando la stessa condotta sui due crinali, amministrativo e penale; dall’altra parte, cita una sanzione penale, l’art. 167 del medesimo Codice, che si compone a sua volta di due commi, contenenti ciascuno il richiamo a diversi articoli che definiscono la liceità del trattamento. Sono punite ai sensi dell’articolo 162 comma 2 bis, quindi, tutte le condotte che costituiscono trattamento illecito di dati personali. Si va dalle violazioni inerenti la verifica preliminare alle violazioni che riguardano i principi generali applicabili a tutti i trattamenti, dal trattamento senza consenso ai trasferimenti vietati, passando per le violazioni che riguardano i dati relativi all’ubicazione o i dati di traffico. La maggior parte delle violazioni sanzionabili dall’Autorità trova asilo nel comma 2 bis dell’articolo 162 del Codice della Privacy. Non è possibile in questa sede fornire una ricostruzione puntuale delle fattispecie richiamate dal comma attraverso l’articolo 167: mi fermerò qui, rinviando alla sua lettura.

Il comma 2 ter riguarda l’inosservanza dei provvedimenti del Garante e ci torneremo tra breve;

il comma 2 – quater assiste il diritto di opposizione in relazione al telemarketing.

L’inosservanza dei provvedimenti del Garante

Sorvolerò sull’infelice coordinamento della disposizione in commento con l’articolo 170 del Codice della Privacy che sanziona condotte rilevanti sotto il profilo penale.

Basti qui ricordare che, ai sensi del comma 2 ter dell’articolo 162 del Codice della Privacy, è punita con il pagamento di una somma da trentamila euro a centottantamila euro l’inosservanza dei provvedimenti del Garante previsti all’articolo 154, comma 1, lettere c) e d), che prescrivano, rispettivamente, misure necessarie o divieti.

Il riferimento sub lettera c) è, dunque, ai provvedimenti generali prescrittivi del Garante.

I provvedimenti generali prescrittivi

Ai sensi dell’articolo 154, comma 1, lettere c) e d), infatti: “1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell’Ufficio e in conformità al presente codice, ha il compito di: (…)

c) prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;

d) vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;”

Che la sanzione sia dovuta per l’inosservanza di divieti, non genera particolari problemi ermeneutici.

Diverso è l’impegno esegetico richiesto dalla lettera c): il richiamo operato dalla lettera c) all’articolo 143, che riguarda le procedure di reclamo, infatti, ha creato non poche incertezze interpretative. È anche vero, però, che già nella relazione di accompagnamento al Codice si leggeva, in ordine all’art. 143: “L’art. 143, sempre nel quadro di un sistema semplificato e snello, “procedimentalizza” le fasi di proposizione del reclamo e del suo esame da parte del Garante. Si prevede, infatti, una fase di istruttoria preliminare, all’esito della quale se il reclamo non è manifestamente infondato e sussistono i presupposti per un intervento dell’Autorità, il Garante, anche prima della definizione del procedimento, adotta le prescrizioni e i divieti necessari.

Non si tratta di specifiche decisioni adottabili esclusivamente nell’ambito di tali procedimenti, ma dei provvedimenti che il Garante può adottare anche d’ufficio nell’ambito dei poteri di controllo attribuitigli (art. 154, già 31 della legge n. 675/1996).”

Il potere del Garante di emanare provvedimenti generali a carattere prescrittivo ai sensi del predetto articolo ha trovato conferma anche da parte della giurisprudenza, che ha riconosciuto il potere dell’Autorità di emanare provvedimenti a carattere generale muovendo dalle segnalazioni ricevute (Trib. Roma sentenza del 19 gennaio 2010).

I provvedimenti generali prescrittivi del Garante vengono pubblicati in Gazzetta Ufficiale. La pubblicazione importa una presunzione di conoscenza in capo ai destinatari.

Uno degli esempi più noti di provvedimento generale prescrittivo è il provvedimento in materia di videosorveglianza dell’8 aprile 2010.

E’ evidente che i provvedimenti prescrittivi generali estendono in maniera significativa il novero delle condotte sanzionabili in via amministrativa e aprono una breccia nel fortino codicistico, dalla quale filtra la capacità creativa dell’Autorità Garante.

Le linee guida

Assodato pertanto che il Garante ha il potere di emanare provvedimenti prescrittivi rivolti a una moltitudine indeterminata di destinatari, varrà la pena di sottolineare che non sono tali le linee guida, che invece sono normalmente emanate sì ai sensi dell’art. 154 comma 1, ma lettera h).

Questi provvedimenti rientrano nella più ampia categoria della soft law e hanno il compito di chiarire l’applicazione delle norme, indirizzando i destinatari senza coartarli. Anche le linee guida sono state sottoposte al vaglio della giurisprudenza e ne è stato acclarato il valore puramente ermeneutico (Trib Bassano 334/09; Trib Roma 19883/09). Tuttavia occorre fare un’annotazione puramente pratica: è bene tenerle in conto e leggerle attentamente. Non è infrequente, infatti, che nelle linee guida siano richiamati adempimenti già assistiti da sanzioni amministrative o penali. E’ bene pertanto valutarne attentamente la portata, perché seppure non costituiscano ex novo condotte suscettibili di sanzione, trascurale o ignorarle aumenta il rischio di incorrere in sanzioni preesistenti. Può apparire lapalissiano, ma se si ha un po’ di dimestichezza con la materia, è facile comprendere come alcuni adempimenti possano dare adito a dubbi e essere attuati malamente: le linee guida possono illuminare ambiti oscuri.

I provvedimenti ibridi

Questa categoria non esiste, nel senso che il nome che ho usato è di mia invenzione e non corrisponde a una classificazione dottrinale o sistematica dei provvedimenti del Garante. Tuttavia esiste dal punto di vista sostanziale. Non è infrequente, infatti, che alcuni provvedimenti siano emanati sia ai sensi della lettera h) del comma 1 dell’articolo 154, che ai sensi della lettera c). E’ sempre molto importante leggere il dispositivo, che indica quali capi del provvedimento sono emanati in base a una lettera e quali in base all’altra, perché a volte è consigliabile gestire prescrittività e soft law in uno stesso provvedimento, al fine di non frammentare indicazioni e disposizioni afferenti alla medesima materia, spesso già sufficientemente stratificata e frammentata di suo. Significa che non tutte le indicazioni saranno vincolanti, e ai destinatari resterà un certo margine di discrezionalità, da non sottovalutare se si esercita attività di impresa. Esempi in tal senso sono il provvedimento sulla biometria (Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014, che in allegato reca le linee guida) e il provvedimento sui cookie “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]”.

In particolare quest’ultimo si presta bene a un rapido esame per meglio illustrare la questione:

Il provvedimento non viene intitolato come provvedimento a carattere generale (diversamente da quello sulla biometria sopra richiamato).

Il provvedimento risulta pubblicato in Gazzetta Ufficiale.

La maggior parte del provvedimento risulta emessa ai sensi dell’articolo 154 lettera h).

La parte di provvedimento non prescrittiva fornisce importanti indicazioni non solo in ordine all’idoneità dell’informativa, ma anche in ordine a trattamenti senza consenso o a quelli che importino la necessità di provvedere alla notifica al Garante (profilazione). Come è evidente il Garante si limita a richiamare fattispecie già esistenti, calandole nel trattamento contingente, non crea nuove fattispecie. Tuttavia è evidente come tralasciare le indicazioni fornite esponga a rischi non indifferenti.

Le sole condotte prescrittive (assistite dalla specifica sanzione di cui all’articolo 162 comma 2 ter del Codice) sono quelle che impongono ai gestori di siti web “di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)”, sono infatti le uniche espressamente emanate ai sensi dell’articolo 154 comma 1 lettera c).

Anche il provvedimento del 23 novembre 2006 “Linee guida in materia di trattamento di dati personali di lavoratori per finalita’ di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” (GU Serie Generale n.285 del 7-12-2006) è significativo in questa prospettiva:

Infatti vi si legge che il Garante, da un lato, delibera di  adottare  le «Linee guida in materia di trattamento di dati personali  di  lavoratori  per  finalità di gestione del rapporto di lavoro  alle  dipendenze  di  datori  di  lavoro  privati», dall’altro, che il Garante prescrive  ai  titolari  del  trattamento  interessati l’adozione  delle  misure  e degli accorgimenti per il trattamento di dati  biometrici  di  cui  al  punto 4 delle medesime Linee guida, ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del Codice;”

In tal modo una parte delle linee guida (il punto 4) viene mutata, per alcune categorie di titolari, in provvedimento prescrittivo generale.

Solo la lettura dei singoli provvedimenti può dare indicazioni certe in ordine alla prescrittività o meno degli stessi, ma è bene tenere a mente la scansione dell’articolo 154 comma 1 in lettere c) e d), richiamate nella sanzione amministrativa disposta dall’art. 162 comma 2 ter, e in lettera h) che, invece, ha valore ermeneutico, e non è assistita da autonoma sanzione (ma spesso le relative  indicazioni forniscono importanti suggerimenti in ordine all’applicazione di sanzioni preesistenti).

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017