Vi è poi la schiera dei “venditori” che, in barba a qualsiasi visione prospettica e strategica (meglio vendere il frullino oggi che, forse, il frigorifero domani), iniziano le loro presentazioni con le temibili cifre di cui all’articolo 83, paragrafi 4, 5 e 6.
Infine, vi è chi, con passione, cerca di comunicare qualcosa di costruttivo.
Le sanzioni hanno un ruolo, come è giusto che sia in tutti i sistemi che impongono un determinato comportamento, altrimenti si cadrebbe, a prescindere, nel ridicolo di un’imposizione normativa non supportata dalla perentorietà di una conseguenza sanzionatoria.
Le cifre sbandierate sono reali, ma il sistema sanzionatorio è più complesso di come viene delineato: per certi versi, è più severo; per altri, è più “prevedibile” o più “gestibile”.
Non dimentichiamo che i profili di responsabilità sono e restano tre: civile, amministrativo e penale.
L’ampiezza dell’ambito risarcitorio è dettata dal paragrafo 1 dell’articolo 82, che recita:
“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.”.
Viceversa, dal paragrafo 1 dell’articolo 84 emerge come le sanzioni per le violazioni, non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, vengono stabilite dai singoli Stati membri.
Presumibilmente, quindi, le previsioni legate ai profili di responsabilità civile e penale, di cui al d.lgs. 30 giugno 2003, n. 196, potrebbero essere riconfermate anche in seguito all’esercizio della delega - conferita dall’articolo 13 della Legge di delegazione europea 2016-2017 - da parte del Governo.
Invece, a proposito delle sanzioni amministrative, l’articolo 83, paragrafo 2, afferma, con chiarezza, che:
“le sanzioni amministrative pecuniarie sono inflitte […] in aggiunta […] o in luogo delle misure di cui all’articolo 58, paragrafo 2”.
Questo riferimento è utile per cogliere la scalabilità del sistema sanzionatorio; detto paragrafo, infatti, attribuisce all’Autorità di controllo un potere correttivo e indica una serie di misure, alcune “blande” - come l’avvertimento, rivolto al titolare o al responsabile, sul fatto che i trattamenti previsti possano violare il regolamento - altre più severe - come la limitazione del trattamento o la sospensione dei flussi dei dati verso paesi extra UE o (ma questo è noto) l’irrogazione di sanzioni amministrative pecuniarie.
Riprendendo l’ipotesi che si applichi l’articolo 83, lo stesso, al paragrafo 2, prosegue dicendo che “al momento di infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, in ogni singolo caso, si tiene conto dei seguenti elementi”, e ne elenca ben undici.
La lista degli elementi è ricchissima: si tiene conto dell’estensione delle conseguenze della violazione, delle misure adottate, della cooperazione con l’Autorità e di come questa sia venuta a conoscenza della violazione (attenzione alla confusione che si ingenera intorno al termine violazione, di cui si parla in diversi articoli, che talvolta si sovrappone e talvolta differisce dalla violazione dei dati), della “recidiva” e via dicendo.
A proposito di enti pubblici, il comma 7 dell’articolo 83 stabilisce che è rimessa al singolo Stato membro la facoltà di stabilire “se e in quale misura possano essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici”.
Ciò detto, due considerazioni emergono su tutte:
- In primo luogo, i profili di Responsabilità civile, in un contesto di maggiore armonizzazione, frutto della presenza di un Regolamento e di quanto espresso all’articolo 82, saranno latori di class action e di richieste risarcitorie di danni morali e materiali da parte di “chiunque” si ritenesse danneggiato.
- In secondo luogo, un’importante insidia andrà ricercata non tanto negli articoli relativi alle sanzioni, bensì, nella portata di alcuni adempimenti, ad esempio nelle previsioni di cui agli articoli 33 e 34 del Regolamento UE.
In particolare, l’articolo 34 del Regolamento UE definisce tempi e modalità per procedere alla comunicazione di una violazione all’interessato.
Perché questo istituto rappresenterebbe una “importante insidia” (non l’unica, naturalmente)?
La risposta è semplice: perché, fino ad oggi (o dovremmo dire fino al 25 maggio 2018), l’impatto di una violazione di un sistema sarebbe, all’atto pratico, emerso solamente nell’ipotesi di un breach mediaticamente rilevante oppure nel caso in cui un interessato si fosse accorto che le proprie informazioni, trattate da un determinato titolare, avevano subito un attacco.
Statisticamente, un fenomeno di rilevanza irrisoria, mentre ci si sarebbe dovuti guardare “solamente” dall’attività ispettiva e dalle conseguenti decisioni dell’Autorità; ma, anche qui, con numeri proporzionali alla capacità di controllo limitata, rispetto a un numero di titolari enorme, data l’estensione dell’applicabilità del quadro normativo vigente a protezione dei dati personali.
Viceversa, dal 25 maggio 2018, la comunicazione all’interessato, opportuna se vista, ad esempio, nell’ottica del “consumatore”, rappresenta un “invito a nozze” per lo stesso, affinché valuti cosa fare della comunicazione ricevuta, ossia se prenderne semplicemente atto oppure esercitare i diritti che gli vengono riconosciuti; tra questi, la possibilità di indirizzare una richiesta risarcitoria nei confronti del titolare, avendo anche una verosimile indicazione di fondatezza, per il fatto stesso che il titolare si sia ritenuto nell’obbligo di procedere a tale comunicazione.
Certo, l’obbligo di procedere alla comunicazione della violazione all’interessato non è integrato rispetto a qualsiasi violazione.
La comunicazione, infatti, è richiesta se la violazione è “suscettibile di presentare un rischio elevato”, mentre la notificazione all’Autorità va fatta se “non è improbabile che la violazione presenti un rischio per i diritti e le libertà fondamentali dell’interessato”.
Insomma, su “n” violazioni dei dati personali, i casi di data breach da notificare all’Autorità saranno “n meno x” - dove ‘x’ equivale ai casi che non richiedono notificazione - e, di questi, solamente “n meno x meno y” casi - dove ‘y’ equivale ai casi che non richiedono comunicazione - dovrebbero essere comunicati all’interessato.
Inoltre, sempre l’articolo 34 suggerisce le condizioni, al verificarsi delle quali il titolare non sarebbe tenuto a tale adempimento; tra queste, l’uso di misure di sicurezza (il riferimento alla crittografia è quasi l’indicazione di una best practice) e l’eventuale sproporzione tra il “rischio” e lo “sforzo” per assolvere all’obbligo medesimo (sproporzione che comporterebbe, comunque, una comunicazione pubblica dell’avvenuta violazione).
Andando a conclusione, non è solo - e non è tanto - per le sanzioni amministrative che i titolari e i responsabili del trattamento devono verificare e adeguare il proprio sistema di gestione delle informazioni, ma per il quadro sanzionatorio nel suo insieme e per gli adempimenti che, come brevemente illustrato, potranno portare ad un effetto moltiplicatore delle azioni risarcitorie.
Da questo discende che un percorso imperniato sull’intento di evitare le sanzioni, anziché sul trattamento dei dati nel rispetto dei principi di cui agli articoli 5 e 25 del Regolamento UE, rappresenterebbe, di per sé, una strada complicata e costellata di continue (e onerose) correzioni di rotta.
