Regolamento - 27/04/2016 - n. 679 art. 83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie

Inquadramento

L'art. 83 GDPR ha rappresentato, probabilmente, la novità più dirompente o, almeno, la più nota e discussa sui mass media, introdotta dalla disciplina europea in materia di protezione dei dati personali entrata in vigore nel maggio del 2016 e applicata dal 25 maggio 2018. L'entità delle sanzioni, nei massimi fino a 20 milioni di euro o fino al 4% del fatturato mondiale dell'anno precedente per le imprese, ha trasformato le sanzioni amministrative pecuniarie privacy in un tema di rilevanza tale da occupare ormai le agende e gli ordini del giorno dei consigli d'amministrazione delle più grandi aziende anche multinazionali.

Sono soggette alla sanzione amministrativa di cui all'art. 83, par. 4 GDPR – cioè fino a 10.000.000 di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore – le violazioni delle disposizioni sugli obblighi del titolare del trattamento e del responsabile del trattamento in materia di modalità di ottenimento del consenso dei minori o dei loro titolari di responsabilità genitoriale nell'ambito dei servizi della società dell'informazione, di trattamenti che non richiedono l'identificazione dell'interessato, di protezione dei dati sin dalla progettazione e per impostazione predefinita, di adeguate misure di sicurezza tecniche e organizzative, di designazioni di rappresentanti stabiliti in Unione Europea, di atti di designazione di responsabili del trattamento e obbligazioni connesse, di accordi di contitolarità, di notificazione delle violazioni e di loro comunicazione agli interessati, di svolgimento di valutazioni d'impatto sulla protezione dei dati e di consultazioni preventive dell'Autorità, di designazione, compiti e requisiti del responsabile della protezione dei dati, oltre alle violazioni degli obblighi degli organismi di monitoraggio dei Codici di condotta e degli organismi di certificazione.

Sono soggette alla sanzione amministrativa di cui all'art. 83, par. 5 del Regolamento – cioè fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore – le violazioni, evidentemente reputate più gravi in astratto, delle disposizioni relative agli obblighi del titolare del trattamento e del responsabile del trattamento in materia di rispetto dei principi generali di base, di esercizio dei diritti degli interessati, di obblighi di informazione, di condizioni di liceità del trattamento (es. consenso degli interessati o altra base giuridica), di trasferimenti all'estero dei dati, di obblighi derivanti dalle normative degli Stati membri nelle materie di cui al capo IX del Regolamento (es. libertà di espressione e diritto all'informazione, accessibilità dei documenti pubblici e trasparenza, privacy dei lavoratori, ricerca scientifica o storica, attività statistiche, archiviazione nel pubblico interesse, uso di codici identificativi nazionali, trattamento di dati da parte di chiese e confessioni religiose), nonché d'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'art. 58, par. 2 GDPR, o il negato accesso in violazione dell'art. 58, par. 1 (l'autorità, si ricorda, ha diritto di ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti, e l'accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri).

L'art. 83 al paragrafo 1 prevede sanzioni effettive, proporzionate e dissuasive, che andranno applicate “in ogni singolo caso”, così escludendo, a parere di chi scrive, la possibilità di sanzioni erogate per categorie generali di fattispecie.

Al paragrafo 2 dell'art. 83 troviamo una vera e propria “checklist” di elementi che l'Autorità chiamata a decidere sul singolo caso dovrà tenere precisamente in conto, al fine di commisurare la sanzione amministrativa pecuniaria. I criteri elencati nel menzionato paragrafo 2 appaiono da riferirsi a ciascuna situazione concreta, e risulterebbe quanto mai difficile, se non impossibile, assegnare ad ognuno di essi un peso predefinito, in termini percentuali generali ed astratti. Alcuni elementi da valutare, tuttavia, sembrano riferirsi implicitamente a circostanze aggravanti e non essere suscettibili di significato attenuante (come, ad esempio, quello previsto alla lettera j) dello stesso art. 83, par. 2: “l'adesione ai codici di condotta approvati ai sensi dell'art. 40 o ai meccanismi di certificazione approvati ai sensi dell'art. 42”).

È viceversa auspicabile, ad avviso dello scrivente, che il criterio ex art. 83, par. 2, lett. h) (“la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione”, a maggior ragione se accompagnato da una lettura a contrario dell'elemento di cui alla lettera e), cioè in assenza di “eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento”) venga interpretato e applicato dall'Autorità come un'importante attenuante, in tutti i casi in cui il contravventore abbia presentato, per la prima volta con riferimento a una specifica fattispecie concreta, la notificazione di violazione ex art. 33 GDPR.

Pare sensato il meccanismo di “assorbimento” degli importi previsti per violazioni minori all'interno dell'importo relativo alla violazione più grave, previsto dal paragrafo 3 dell'art. 83 (“Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”), per evitare una moltiplicazione degli impatti sanzionatori che si potrebbe rivelare in re ipsa sproporzionata, in caso di violazioni derivanti da un unico trattamento o da trattamenti collegati fra loro. Questo, sebbene possa rivelarsi non chiaro il concetto di “collegamento” fra trattamenti: è dubbio se, per configurarsi un trattamento collegato ad un altro, sarà necessario riscontrare una mera consequenzialità o prossimità di contesto fra trattamenti, o servirà, invece, individuare una strumentalità servente dell'uno rispetto all'altro.

Una delle ulteriori novità dell'impianto sanzionatorio del Regolamento consiste nel fatto che le sanzioni amministrative possono essere applicate anche ad altri soggetti che non siano i titolari del trattamento. Divengono centri d'imputazione giuridica delle sanzioni anche il responsabile del trattamento e il rappresentante stabilito sul territorio dell'Unione Europea (in tal senso possono essere interpretati sia la formula finale del considerando 80 del Regolamento – “Il rappresentante designato dovrebbe essere oggetto di misure attuative in caso di inadempienza da parte del titolare del trattamento o del responsabile del trattamento” – sia il richiamo contenuto nell'art. 83.4 del Regolamento alla violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli artt. 8, 11, da 25 a 39, 42 e 43). Ancora, ex art. 83.4.c) del Regolamento, se l'organismo di monitoraggio di cui all'art. 41 viola i suoi obblighi di controllo sui codici di condotta, come stabiliti dall'art. 41.4, esso è soggetto a sanzione amministrativa pecuniaria fino a 10.000.000 di euro, che, per le imprese – e potrebbe essere il caso dei predetti organismi – si traduce in una somma che può arrivare fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Allo stesso rischio si sottopone l'organismo di certificazione che violi gli obblighi di cui agli artt. 42-43 GDPR (Bolognini, Pelino, Bistolfi).

Per ciò che attiene alla commisurazione delle sanzioni amministrative pecuniarie, e quindi in particolare l'interpretazione di quanto previsto all'art. 83.2 GDPR, va detto che le Autorità di controllo di tutti gli Stati della UE hanno inteso rendere coerente il proprio orientamento comune, con l'approvazione delle Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento, adottate il 3 ottobre 2018 dal Gruppo di Lavoro Articolo 29 e fatte proprie dal Comitato Europeo per la Protezione dei Dati (https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611237).

In esse, le Autorità innanzitutto si dedicano ad interpretare alcune linee di principio e di definizione generale. Affrontano, in primis, il tema della “equivalenza” delle sanzioni comminate dalle varie Autorità nazionali, a norma dell'art. 83 del Regolamento, e concludono nel senso che tale “equivalenza” sia “fondamentale nel determinare la portata degli obblighi delle autorità di controllo di garantire coerenza nel ricorso ai poteri correttivi di cui all'art. 58, paragrafo 2, in generale e nell'applicazione delle sanzioni amministrative in particolare”.

Evidenziano, richiamandosi al considerando 10 del Regolamento, come “al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dovrebbe essere equivalente in tutti gli Stati membri”. E sottolineano che per raggiungere tale obiettivo servono “poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri” e che “sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri debbano essere considerate un modo per “prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno”, in linea con i considerando 11 e 13 del Regolamento.

Chiariscono le Autorità che, nei casi transfrontalieri, “la coerenza deve essere garantita principalmente mediante il meccanismo di cooperazione (sportello unico) e in una certa misura tramite il meccanismo di coerenza introdotto dal nuovo regolamento” e che, nei casi nazionali previsti dal Regolamento, “le Autorità di controllo applicheranno le Linee guida [del 3 ottobre 2018, n.d.a.] nello spirito di collaborazione ai sensi dell'art. 57, paragrafo 1, lett. g), e dell'art. 63, al fine di garantire la coerenza dell'applicazione e dell'attuazione del regolamento. Sebbene continuino a essere indipendenti nello scegliere le misure correttive di cui all'art. 58, paragrafo 2, le Autorità di controllo dovrebbero evitare di scegliere misure correttive differenti in casi analoghi”.

Nel ribadire la necessità di sanzioni effettive, proporzionate e dissuasive, a norma dell'art. 83.1 del Regolamento, le citate Linee Guida aiutano l'interprete a fugare il legittimo dubbio su quale debba essere il soggetto da considerare, per la commisurazione in percentuale sul fatturato, delle sanzioni, nei casi di gruppi imprenditoriali: “Al fine di irrogare sanzioni amministrative che siano effettive, proporzionate e dissuasive, l'autorità di controllo deve rifarsi alla definizione della nozione di impresa fornita dalla Corte di giustizia dell'Unione europea (CGUE) ai fini dell'applicazione degli artt. 101 e 102 TFUE, secondo cui il concetto di impresa va inteso come un'unità economica che può essere composta dall'impresa madre e da tutte le filiali coinvolte. Conformemente al diritto e alla giurisprudenza dell'UE5, un'impresa deve essere intesa quale unità economica che intraprende attività economiche/commerciali, a prescindere dalla persona giuridica implicata (considerando 150)”. In sostanza, la commisurazione potrà ben tenere conto del fatturato mondiale dell'impresa “madre” e di tutte le imprese controllate o collegate che siano coinvolte nella contravvenzione.

Non si può, qui, omettere il testo del considerando 148, nella sua interezza, poiché estremamente chiaro e rilevante per comprendere il perimetro del potere sanzionatorio riconosciuto alle Autorità: “Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall'Autorità di controllo ai sensi del presente regolamento. In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l'autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all'adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. L'imposizione di sanzioni, comprese sanzioni amministrative pecuniarie dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dell'Unione e della Carta, inclusi l'effettiva tutela giurisdizionale e il giusto processo”.

Quanto inoltre alla possibile estensione e modalità di erogazione delle sanzioni da parte del Garante, e quindi anche con riferimento alle dinamiche del procedimento sanzionatorio avviato dall'Autorità, conviene, in aggiunta, ricordare il contenuto del considerando 129 del Regolamento, che recita tra l'altro: «[...] È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell'Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. I poteri di indagine per quanto riguarda l'accesso ai locali dovrebbero essere esercitati nel rispetto dei requisiti specifici previsti dal diritto processuale degli Stati membri, quale l'obbligo di ottenere un'autorizzazione giudiziaria preliminare. Ogni misura giuridicamente vincolante dell'autorità di controllo dovrebbe avere forma scritta, essere chiara e univoca, riportare l'autorità di controllo che ha adottato la misura e la relativa data di adozione, recare la firma del responsabile o di un membro dell'autorità di controllo da lui autorizzata, precisare i motivi della misura e fare riferimento al diritto a un ricorso effettivo. Ciò non dovrebbe precludere requisiti supplementari ai sensi del diritto processuale degli Stati membri. L'adozione di una decisione giuridicamente vincolante implica che essa può essere soggetta a controllo giurisdizionale nello Stato membro dell'autorità di controllo che ha adottato la decisione».

Nelle successive Linee guida 04/2022 sul calcolo delle sanzioni ai sensi del GDPR del Comitato europeo per la protezione dei dati (EDPB), come da versione adottata il 24 maggio 2023, che completano le Linee guida già adottate in materia di applicazione e fissazione di sanzioni amministrative pecuniarie (WP253, menzionate sopra e che si concentrano sulle circostanze in cui imporre una sanzione), le Autorità europee chiariscono che il calcolo dell'importo della sanzione è rimesso a discrezione dell'autorità di controllo, fatte salve le norme previste dal GDPR. In tale contesto, il GDPR richiede che l'importo della sanzione in ciascun singolo caso sia efficace, proporzionato e dissuasivo (art. 83, paragrafo 1, del GDPR). Inoltre, quando si definisce l'importo della sanzione pecuniaria, le autorità di controllo devono tenere in debita considerazione un elenco di circostanze cui si fa riferimento nell'art. 83, paragrafo 2, GDPR. L'importo della sanzione pecuniaria non può superare gli importi massimi previsti dagli artt. 83, paragrafi 4, 5 e 6, GDPR. La quantificazione dell'importo della sanzione si basa quindi su una specifica valutazione effettuata, in ogni caso, entro i parametri previsti dal GDPR. Tenendo conto di quanto sopra, l'EDPB ha ideato la seguente metodologia, composta da cinque fasi, per il calcolo delle sanzioni amministrative per le violazioni del GDPR. In primo luogo, devono essere identificate le operazioni di trattamento nel caso specifico e l'applicazione dell'art. 83, paragrafo 3, del GDPR deve essere valutata: se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del GDPR, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. In secondo luogo, va individuato il punto di partenza per un ulteriore calcolo dell'importo della sanzione. Questo viene fatto valutando la classificazione dell'infrazione del GDPR, valutando la gravità della violazione alla luce delle circostanze del caso, e considerando il fatturato dell'impresa. Il terzo passo è la valutazione delle circostanze aggravanti e attenuanti relative al comportamento passato o presente del titolare/responsabile del trattamento e all'aumento o alla diminuzione della sanzione pecuniaria di conseguenza. Il quarto passaggio consiste nell'identificare i massimi legali pertinenti per le diverse infrazioni. Gli aumenti applicati nelle fasi precedenti o successive non possono superare l'importo massimo. Infine, occorre analizzare se l'importo finale calcolato soddisfa i requisiti di efficacia, dissuasività e proporzionalità. La multa può ancora essere adattata di conseguenza, ma senza superare il relativo massimo legale. In tutte le fasi di cui sopra, si deve tenere presente che il calcolo di una sanzione non corrisponde a un semplice esercizio matematico. Piuttosto, le circostanze del caso specifico sono i fattori determinanti che portano a identificare l'importo finale, che può essere – in ogni caso – qualsiasi importo fino al massimo legale ex lege.

Il contenuto dei considerando 148 e 129 del Regolamento, a parere di chi scrive, per la loro valenza sovranazionale e per la chiara portata vincolante nei confronti delle Autorità degli Stati membri, si potrà rivelare una preziosa chiave per contestare eccessi, imprecisioni o difetti nelle motivazioni dei provvedimenti sanzionatori, nella commisurazione delle sanzioni pecuniarie e nelle relative dinamiche procedimentali.

Il regime sanzionatorio trae le sue origini già dalla dir. 95/46/CE che, tuttavia, non specificava il tipo e l'entità delle sanzioni previste, affidando ex art. 24 dir. 95/46/CE agli Stati membri il compito di disciplinare le conseguenze delle violazioni, senza precisare se le violazioni dovessero essere penali – nella piena autonomia di ciascuno Stato – o amministrative. Al contrario, il Regolamento individua gli importi e le situazioni in cui possono essere comminate sanzioni amministrative. Vengono, in particolare, elencate puntualmente le sanzioni amministrative pecuniarie massime per specifiche violazioni del Regolamento, sono indicati nuovi criteri per la ponderazione della sanzione pecuniaria relativi a tutte le circostanze pertinenti della situazione concreta, in particolare alla natura, gravità e durata dell'infrazione e alle relative conseguenze, nonché alle misure adottate per assicurare la conformità agli obblighi derivanti dal Regolamento e prevenire o attenuare le conseguenze della violazione – parametri non presenti nella dir. 95/46/CE ma, semmai, individuati nelle legislazioni nazionali come nel caso della l. n. 689/1981 in Italia per l'applicazione delle sanzioni amministrative. Si precisa che le sanzioni amministrative possono essere inflitte sia a persone fisiche sia a soggetti giuridici privati o pubblici, tra cui titolari e responsabili del trattamento, organismi di certificazione o di monitoraggio dei codici di condotta, DPO (Data Protection Officer), rappresentanti del titolare ecc. e che esse possono accompagnarsi, senza escluderla, all'applicazione di altri poteri delle DPA (Data Protection Authority) o di altre sanzioni (amministrative non pecuniarie, penali o accessorie). Rimane interpretabile, alla luce della lettera del considerando 149 e dell'art. 84 GDPR da combinarsi con l'art. 83.2 TFUE, la questione relativa ai margini della riserva- “quasi direttiva” per gli Stati membri con riferimento alle sanzioni penali (Bolognini, Pelino, Bistolfi).

Bibliografia

Bolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.