Proposta del Garante di modifica dell’apparato sanzionatorio

modifica sanzioni privacyDi recente si è appresa la notizia di una proposta inviata dal Garante al Governo di intervento sull’apparato sanzionatorio previsto dal Codice in materia di protezione dei dati personali, risalente al settembre scorso.

Non è la prima volta che ciò avviene ma, a differenza del passato, in questo caso è il Garante stesso che ne rende pubblici termini e contenuti.

Il Garante propone «possibili misure di semplificazione della normativa in materia di protezione dei dati personali, volte a snellire gli adempimenti cui sono tenuti, oggi, i titolari del trattamento e a razionalizzare il relativo quadro sanzionatorio» soprattutto a beneficio di «piccole e medie imprese o comunque [d]i soggetti, anche pubblici, di modeste dimensioni, senza tuttavia abbassare lo standard delle garanzie per i cittadini e nel rispetto dei vincoli dell’Unione europea», individuando tre linee d’intervento:

a) rimodulazione del quadro sanzionatorio e «aumento dell’equità nell’applicazione delle sanzioni, mediante, fra l’altro, la ridefinizione dei confini tra le fattispecie penali e amministrative», «la limitazione della responsabilità penale per la mancata adozione delle misure minime di sicurezza ai soli casi in cui ne sia derivata una conseguenza negativa nella sfera giuridica degli interessati» e la previsione di sanzioni più gravi nei casi di violazioni reiterate;

b) «riduzione dei costi diretti e indiretti (di consulenza e assistenza legale) per i soggetti destinatari di sanzioni» mediante l’introduzione di una modalità agevolata di definizione delle violazioni in caso di prima violazione e «diminuendo i casi in cui non è ammessa l’estinzione mediante oblazione»;

c) aggiornamento delle misure minime di sicurezza prevedendo «anche con disposizioni differenziate in ragione dei rischi effettivi per i diritti degli interessati e minimizzando l’impatto economico delle stesse, in particolare presso le piccole e medie imprese, liberi professionisti e artigiani».

Si parla di semplificazione e snellimento degli adempimenti, di riduzione dei costi e di aggiornamento delle misure minime di sicurezza e ciò potrebbe indurre a pensare ad una sorta di smobilitazione da parte del Garante o di depotenziamento dei suoi strumenti; inoltre questi interventi potrebbero sembrare intempestivi in ragione della presumibile imminente approvazione del nuovo regolamento UE in sostituzione della direttiva 95/46/CE.

Non è la prima volta che il Garante si fa promotore di una revisione del quadro sanzionatorio, rimanendo inascoltato. Un sistema sanzionatorio maggiormente modulabile unito all’adozione dei proposti meccanismi di accelerazione della definizione dei procedimenti sanzionatori in presenza di determinate condizioni (prima “lieve” violazione riscontrata nei confronti di soggetti di piccole dimensioni) potrebbe arrecare benefici a tutti gli attori in campo, non ultimo il Garante stesso che potrebbe recuperare personale dalla gestione dei procedimenti sanzionatori di minore importanza per dedicarlo ad altri settori (ad es. ispezioni mirate verso i fenomeni più lesivi dei diritti degli interessati, verifiche preliminari, ecc.).

Circa la questione della tempistica rispetto alla presumibile prossima approvazione del nuovo regolamento UE, bisogna tenere presente che, da un lato, le nuove disposizioni del regolamento entreranno in vigore decorsi due anni dalla sua approvazione, così come previsto dell’attuale formulazione dell’art. 91 della proposta di regolamento (“Article 91 – Entry into force and application: 1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. 2. It shall apply from two years from the date referred to in paragraph 1); dall’altro, non vi è alcuna certezza sulla tempistica di effettiva approvazione, che è già slittata più volte.

A ciò si aggiunga che un’ulteriore incertezza sui tempi potrebbe derivare dalla necessità che la parte del nuovo regolamento relativa alle sanzioni richieda un recepimento da parte dei singoli stati membri; ciò potrebbe accadere se – come sembra – il regolamento, invece di prevedere in modo dettagliato le fattispecie sanzionatorie, si limitasse ad delineare i comportamenti da sanzionare e ad indicare il limite massimo delle sanzioni applicabili, rappresentando in tal modo dei “principi” da dover dettagliare da parte dei legislatori nazionali anche in base alle peculiarità dei singoli ordinamenti nazionali (si pensi, ad esempio, alle differenze presenti nelle disposizioni che regolano i procedimenti di applicazione delle sanzioni).

Perché “snellire” il procedimento sanzionatorio?

Il procedimento sanzionatorio:

  1. parte con la contestazione della violazione, che per quanto riguarda quelle del Codice privacy può essere adottata – oltre che dal personale del Garante – da qualsiasi ufficiale o agente di polizia giudiziaria che rilevi la violazione nell’ambito della propria attività. Siccome anche per le sanzioni amministrative vige il principio di determinatezza e tassatività, le norme sanzionatorie devono essere scritte in modo tale da non lasciare margini di discrezionalità nella fase di contestazione;
  2. ciascuna delle violazioni previste dal Codice ha un importo minimo e massimo prestabilito (ad es. per l’omessa informativa da 6.000 a 36.000 euro) e la violazione può – salvo eccezioni – essere definita col pagamento in misura ridotta (pari attualmente al doppio del minimo della sanzione) entro 60 gg dalla contestazione (ad es. per l’omessa informativa pari a 12.000 euro);
  3. se non viene effettuato il pagamento in misura ridotta, il Garante con ordinanza-ingiunzione applica la sanzione tra l’importo minimo e quello massimo tenendo conto di una serie di fattori previsti dalla legge, tra cui la gravità della violazione, le condizioni economiche dell’autore della violazione, la tipologia di dati cui la violazione si riferisce, ecc.; questa è l’unica fase in cui può essere effettuato un apprezzamento discrezionale della violazione, mentre nelle fasi precedenti il meccanismo è del tutto vincolato;
  4. a questo punto il destinatario della sanzione sarà tenuto a pagare la sanzione determinata dal Garante con l’ordinanza-ingiunzione oppure potrà impugnarla innanzi al giudice ordinario.

Si comprende quindi come quello sanzionatorio sia un procedimento articolato e complesso, spesso costoso sia per il destinatario della sanzione, sia per l’autorità pubblica che la irroga. Individuare soluzioni che consentano di “punire” i comportamenti più lievi con modalità rapide e poco dispendiose (anche in termini di costi indiretti, come l’assistenza legale, ecc.) è una scelta che dovrebbe essere accolta favorevolmente da tutte le parti in gioco.

La proposta in dettaglio

Le modifiche proposte possono essere raggruppate a seconda delle finalità dell’intervento.

1) rimodulazione dell’intensità delle sanzioni

  • introduzione della definizione agevolata di talune violazioni amministrative (161, 162, 162-bis, 163, 164) con il pagamento – entro 30 gg. dalla notifica della contestazione – della sanzione in misura pari:
    – ai due quinti del minimo per i soggetti, pubblici o privati, con meno di quindici dipendenti (ad es. per l’omessa informativa si potrebbe definire la violazione con € 2.400 anziché col doppio del minimo pari a € 12.000);
    – al minimo per i soggetti, pubblici o privati, con meno di duecentocinquanta dipendenti (ad es. per l’omessa informativa pari a € 6.000).
    Se la violazione non viene definita con la modalità agevolata, dopo il 31° giorno il procedimento prosegue secondo le modalità attuali.
    La disposizione mira a mitigare gli effetti sanzionatori collegati a violazioni commesse da soggetti di piccole dimensioni rispetto ai quali è presumibile una minore intensità della colpa. Tale possibilità è tuttavia preclusa in caso di reiterazione o di recidiva della violazione o in presenza di ipotesi di violazioni aggravate (art. 164-bis, commi 2 e 3, ossia rispettivamente per violazioni relative a banche dati di particolare rilevanza o dimensione e nei casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati);
  • introduzione di una forma di recidiva che aggrava le sanzioni nei casi di ripetute violazioni delle stesse disposizioni commesse dallo stesso soggetto in un arco di tempo definito (1 anno):
    – la sanzione viene raddoppiata per le violazioni successiva alla prima commesse in un anno;
    – la sanzione viene quadruplicata per le violazioni successiva alla terza commesse in un anno;
    Si prevede espressamente che la recidiva (a differenza della reiterazione) operi anche se le precedenti violazioni sono state definite col pagamento in misura ridotta.

2) spostamento della tutela penale verso violazioni sostanziali dei diritti

  • ferma restando l’applicabilità della sanzione amministrativa nell’attuale formulazione, la sanzione penale relativa alle misure minime di sicurezza farà «scattare la responsabilità penale solo nel caso in cui, a causa dell’inadeguatezza delle misure di sicurezza adottate, si verifichi “la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso abusivo ai dati personali trasmessi, memorizzati o comunque elaborati”, trasformando la fattispecie da reato di pericolo a reato di evento; viene contestualmente abrogata la procedura del c.d. ravvedimento operoso, non più funzionale rispetto alla nuova previsione penale che resta punita con l’arresto fino a due anni. L’abrogazione del procedimento prescrizionale attualmente previsto in sede penale non impedirà al Garante di prescrivere comunque le misure necessarie per rendere il trattamento dei dati conforme alla legge, sulla base di quanto già previsto dall’art. 154 del Codice»;
  • si introduce la procedibilità a querela della persona offesa per il reato di trattamento illecito di dati (art. 167, comma 2-bis).

3) snellimento delle procedure

  • viene  eliminato il «vincolo che attualmente impedisce all’autore della violazione amministrativa in tema di misure minime di sicurezza di accedere alla definizione in via breve attraverso il pagamento in misura ridotta (art. 162, comma 2-bis)»;
  • viene modificato l’articolo 36 del Codice per far sì che il Garante possa farsi promotore delle procedure di aggiornamento delle misure minime di sicurezza, che attualmente invece competono al «Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa» e che dal 2003 non vi hanno mai provveduto; la proposta prevede che possano essere individuate «misure differenziate in ragione dei rischi effettivi per i diritti degli interessati e minimizzando l’impatto economico delle stesse, in particolare presso le piccole e medie imprese, liberi professionisti e artigiani», dando la possibilità di stabilire finalmente misure differenziate rispetto alla tipologia di trattamento in concreto effettuato.

Le principali “novità” della proposta ed alcuni esempi della loro applicazione pratica

Quelli che seguono sono, a mio avviso, i principali elementi di novità della proposta:

  1. sanzione ridotta in base al numero dei dipendenti: la violazione che viene contestata è quella “ordinaria” e ciò consente di rispettare il principio di determinatezza; l’autore della violazione, se non è “recidivo” ed è un soggetto di piccole dimensioni e se la violazione non è connotata da particolare gravità, può avvalersi della definizione della violazione in misura “agevolata”. Da quel momento in poi, però, è come se avesse “sprecato il jolly” e dovrà stare più attento in futuro. Tra l’altro ciò non impedirà al Garante, ove ritenuto necessario, di impartite specifiche prescrizioni al titolare, né agli interessati di agire in giudizio in sede civile per l’eventuale danno subito;
  2. introduzione della “recidiva”: se da un lato si viene incontro a chi incappa in violazioni privacy per la prima volta, con la recidiva si intende «penalizzare pratiche scorrette che inducono, nel settore privato, a reiterate violazioni dei diritti dei cittadini per scopo di lucro (fenomeno segnalato numerose volte dall’Autorità sotto la definizione di “marketing selvaggio”)». Detto in altri termini, si propongono sanzioni più gravi per i “violatori seriali” affinché esse risultino finalmente più efficaci nei confronti di quei soggetti che nell’ambito della propria attività commerciale commettono “regolarmente” violazioni alla privacy (si pensi ad esempio alle chiamate indesiderate degli operatori telefonici per le quali nemmeno il registro delle opposizioni non ha rappresentato un argine efficace). Personalmente ritengo che questa iniziativa dovrebbe unanimemente apprezzata, fatta eccezione proprio per coloro che intendono “sistematicamente” commettere violazioni;
  3. revisione delle misure minime di sicurezza: le relative disposizioni risalgono al 2003 e sono in larga parte superate poiché si presentano sia inadeguate rispetto all’evoluzione delle tecnologie, sia legate a parametri (come, ad esempio, la presenza o meno di dati sensibili) che non sempre rappresentano un indice adeguato o, quantomeno, unico per individuare i presidi organizzativi e tecnici minimi da apprestare rispetto al livello di tutela da assicurare ai dati trattati. Personalmente ritengo non solo opportuno ma addirittura necessario trasferire in capo al Garante la competenza dell’aggiornamento di tali misure, finora del tutto trascurato da chi avrebbe dovuto curarlo.

Facciamo un esempio pratico (la parte sottolineata è quella che si applicherebbe se la proposta diventasse legge):

  • chiamata indesiderata in violazione dell’art. 162, comma 2-bis;
  • contestazione della violazione secondo le modalità ordinarie, con un importo da € 10.000 a € 120.000;
  • se l’autore della violazione non è recidivo:
    • se ha meno di 15 dipendenti, può pagare entro 30 gg. € 4.000 e definire la violazione (pari a 2/5 del minimo);
    • se ha meno di 250 dipendenti, può pagare entro 30 gg. € 10.000 e definire la violazione (pari al minimo);
  • se non ha i requisiti (o se non decide di avvalersi della definizione agevolata), l’autore può pagare entro 60 gg. € 20.000, pari al doppio del minimo (c.d. pagamento in misura ridotta);
  • laddove il procedimento non venga definito con le predette modalità, il Garante – dopo aver letto le eventuali memorie dell’autore della violazione ed averlo sentito su sua richiesta – applicherà la sanzione con ordinanza-ingiunzione tra il minimo (€ 10.000) e il massimo (€ 120.000), tenendo conto di una serie di fattori previsti dalla legge.

E’ un dato di fatto – che gli addetti ai lavori conoscono meglio di altri – che vi sono soggetti che tuttora ignorano la disciplina in materia di protezione dei dati personali, almeno fino a quando non vi “inciampano”. Queste misure mirano a far sì che, una volta che ciò avvenga, il titolare abbia uno strumento agevole per definire la questione ma anche l’occasione di rendendosi anche conto che, essendo quello della definizione agevolata (nell’esempio € 4.000 senza “costi di gestione” legati all’eventuale assistenza legale) una sorta di bonus una tantum, occorre riconsiderare la necessità di dare attuazione alle disposizioni privacy poiché in caso di recidiva gli importi sarebbero di tutt’altro genere (nel nostro esempio, € 20.000 per il pagamento in misura ridotta fino allo spauracchio dell’importo massimo della sanzione, pari ad € 120.000, cui aggiungere l’eventuale assistenza legale).

Altro dato di fatto è quello rappresentato dai “violatori privacy seriali” e, come detto, la proposta interviene anche su di loro. Esempio:

  • chiamata indesiderata in violazione dell’art. 162, comma 2-bis;
  • il soggetto è recidivo (non può beneficiare della definizione agevolata):
    • se è la seconda o la terza violazione commessa nell’anno, la contestazione sarà da € 20.000 a € 240.000 (raddoppiata);
    • per tutte le violazioni successive alla quarta in un anno, la contestazione sarà da € 40.000 a € 480.000 (quadruplicata);
  • l’autore della violazione può pagare entro 60 gg. il doppio del minimo (c.d. pagamento in misura ridotta) della sanzione contestata, quindi rispettivamente € 40.000 (seconda o terza violazione) o € 80.000 (dalla quarta in poi);
  • laddove il procedimento non venga definito con le predette modalità, il Garante – dopo aver letto le eventuali memorie dell’autore della violazione ed averlo sentito su sua richiesta – applicherà la sanzione con ordinanza-ingiunzione tra il minimo (€ 20.000 o 40.000) e il massimo (€ 240.000 o 480.000), tenendo conto di una serie di fattori previsti dalla legge.

Si intuisce chiaramente che, nel primo esempio, la forbice tra l’importo della definizione agevolata (€ 4.000 senza “costi di gestione” legati all’eventuale assistenza legale) e l’importo massimo della sanzione (€ 120.000 cui aggiungere l’eventuale assistenza legale) dovrebbe indurre molti ad accedere a tale strumento, con una riduzione dei costi per tutti (sanzionato e sanzionante) e con lo spauracchio della possibile futura recidiva; nel secondo esempio, “l’esponenzialità” dell’incremento della sanzione mira ad indurre taluni operatori ad abbandonare pratiche commerciali scorrette che oggi, invece, risultano remunerative poiché l’importo delle sanzioni attualmente irrogabili non è tale da erodere sensibilmente i margini di guadagno illecitamente acquisiti con tali modalità lesive dei diritti degli interessati.

Brevi considerazioni sulle modifiche alle sanzioni penali

Per quanto riguarda le modifiche alle violazioni penali, occorre fare un ragionamento ancora più ampio. L’art. 167 sul trattamento illecito, nella sua attuale formulazione, ha le seguenti caratteristiche:

  • è una fattispecie residuale, ossia scatta “Salvo che il fatto costituisca più grave reato”;
  • prevede che la violazione si configuri in presenza del dolo specifico dell’autore, che deve agire “al fine di trarne per sé o per altri profitto o di recare ad altri un danno”;
  • si integra soltanto in presenza della condizione obiettiva di punibilità “se dal fatto deriva nocumento”.

Questi elementi devono ricorrere tutti contestualmente.

In astratto l’invio ad esempio di un semplice fax promozionale “indesiderato” può far scattare la fattispecie in questione: non integra un più grave reato, viene fatto a scopo di lucro (trarre profitto) ed è astrattamente idoneo ad arrecare nocumento (consumo del materiale del fax…).

Se dovessero essere perseguiti con lo strumento penale casi del genere, le procure della Repubblica potrebbero essere oberate da procedimenti penali su simili questioni e non potrebbero fare altro e, personalmente, non credo che sarebbe il modo migliore per impiegare le già scarse risorse che vi sono nel settore.

Sotto un profilo strettamente pratico, poi, i procedimenti penali del genere sono veramente pochi, soprattutto perché è difficile dimostrare in sede giudiziaria la presenza del nocumento specialmente nei casi in cui manchi la querela della persona offesa.

Credo che sia questo il motivo per il quale il Garante abbia proposto di prevedere che la violazione sia perseguibile a querela di parte – elemento che costituisce indice del probabile nocumento subito dal querelante – tenendo conto che in mancanza di querela resta comunque ferma la presenza della corrispondente violazione amministrativa (art. 162, comma 2-bis).

Considerazioni conclusive

La proposta deve essere valutata nel suo insieme. In generale non credo che si possa affermare che rappresenti una sorta di “smobilitazione” o di attenuazione dell’apparato sanzionatorio, anzi credo che sia tutto il contrario. Infatti, affianco ad alcune misure volte ad attenuare l’impatto delle sanzioni nei casi di minor rilevanza, si propone l’introduzione della recidiva, strumento che consentirebbe di agire in modo finalmente più incisivo nei confronti di quei soggetti che “abitualmente” commettono violazioni in materia di privacy.

Anche nell’ottica del nuovo regolamento, le modifiche proposte dal Garante in parte anticipano lo spirito di quello che potrebbe essere l’apparato sanzionatorio derivante dal nuovo regolamento. Ciò potrebbe consentire di verificare l’efficacia di queste misure per un discreto periodo di tempo e di apportare eventuali correttivi dopo l’approvazione del nuovo regolamento, sempre nell’ottica di evitare di dover applicare sanzioni “pesanti” per violazioni di carattere meramente formale e, invece, di perseguire con strumenti efficaci le violazioni sostanziali dei diritti degli interessati.

Dalla mia personale lettura della proposta nel suo insieme emerge un messaggio molto chiaro: si riduce l’impatto delle sanzioni nel caso in cui ci si trovi di fronte ad una prima violazione commessa, ma si aggravano le sanzioni nei confronti dei recidivi.

Teniamo presente che, come dimostrano gli esempi sopra riportati, le sanzioni sono molto pesanti e, anche allorquando vengano applicate in forma ridotta o definite in modo agevolato, rappresentano comunque un forte deterrente. Inoltre, nel caso in cui la violazione sia grave, può essere raddoppiata già in sede di contestazione e ciò esclude in questi casi anche il beneficio di potersi avvalere della definizione agevolata.

In sostanza, se passasse questa proposta l’apparato sanzionatorio diventerebbe molto più modulare, si colpirebbe “forte” solo dove ce n’è realmente bisogno, riservando la tutela penale solo ai casi di effettivo danno arrecato alle persone o agli interessi pubblici protetti (che è l’ambito proprio della legge penale) e tralasciando le ipotesi di violazioni meramente formali, ma si manterrebbe comunque invariato, se non addirittura incrementato, il deterrente costituito dalle sanzioni amministrative.

fdp

FONTI:

Semplificazione del quadro sanzionatorio e delle misure minime di sicurezza previste dal Codice – 22 settembre 2014


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Advertisements

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...