Il 25 maggio 2018 è entrato in vigore il Regolamento europeo n. 679 del 2016 (General Data Protection Regulation o, più semplicemente, GDPR), il quale ha introdotto un proprio regime sanzionatorio applicabile ogni qualvolta si verifichi una violazione della nuova normativa sulla protezione dei dati personali. In Italia, il soggetto legittimato ad irrogare le predette sanzioni è il Garante per la protezione dei dati personali (c.d. Garante privacy).
Il Garante è definito dal GDPR all’art. 51.
Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»).
Ogni autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi cooperano tra loro e con la Commissione, conformemente al capo VII.
Qualora in uno Stato membro siano istituite più autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi, detto Stato membro designa l’autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi che rappresenta tali autorità nel comitato e stabilisce il meccanismo in base al quale le altre autorità si conformano alle norme relative al meccanismo di coerenza di cui all’articolo 63.
Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
È quindi un ente pubblico indipendente che ha lo scopo di sorvegliare l’applicazione della normativa europea (e nazionale) della privacy con lo scopo di tutelare i diritti delle persone fisiche in materia di trattamento dei dati personali.
Tra i poteri che il Garante può esercitare vi è l’irrogazione di sanzioni amministrative per le violazioni della normativa poc’anzi menzionata. L’esercizio di predetto potere è sottoposto all’adozione dei criteri valutativi indicati dall’art. 83, i quali permettono al Garante di determinare il preciso ammontare dell’importo della sanzione nel rispetto dei massimi fissati dalla norma.
Il regime sanzionatorio in esame è caratterizzato da un’elevata severità. Difatti, l’art. 83 stabilisce che il Garante possa erogare una sanzione pecuniaria di importo pari a massimo 20.000.000,00 €, oppure, per le imprese, fino al 4% del fatturato mondiale totale annuo. I limiti sono più bassi per una serie di violazioni considerate meno gravi, in questo caso la sanzione potrà ammontare a non più di euro 10.000.000,00 o il 2% del fatturato mondiale totale annuo.
Gli enti o, più in generale, chiunque effettui un qualsiasi trattamento su dati che siano qualificabili come personali dovrà sottostare alla normativa vigente in materia di privacy. Va ricordato che per dato personale si intende una qualsiasi informazione che identifichi o renda identificabile una persona fisica. Per trattamento s’intende una qualsiasi operazione (o insieme di operazioni) effettuata su di un dato personale, pertanto anche la semplice memorizzazione rappresenta un trattamento ai sensi dell’art. 4 del GDPR.
Visto l’impegno che il GDPR ha imposto a qualunque soggetto che effettui un trattamento su dei dati personali, il legislatore italiano ha concesso un termine di 8 mesi durante il quale si ha la c.d. mitigazione delle sanzioni. L’art. 22, comma tredicesimo, del decreto legislativo n. 101 del 2018, ha previsto che
Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
Il predetto decreto è entrato in vigore il 19 settembre 2018, conseguentemente il termine di 8 mesi ha scadenza fissata per il 19 maggio 2019.
Non è chiaro quale sia il significato della disposizione nella parte in cui afferma che il Garante
Tiene conto della fase di prima applicazione delle disposizioni
Tuttavia, si ritiene che il legislatore abbia voluto imporre al Garante un dovere di condotta, ossia l’adozione di una certa clemenza nell’applicazione delle sanzioni per i primi 8 mesi dall’entrata in vigore del d.lgs. 101/2018, come confermato dall’orientamento trova conferma nel provvedimento dello stesso Garante deliberato il 26 luglio 2018 con il quale si dava inizio ad una attività di controllo a campione per il periodo di luglio-dicembre. (c.d. periodo di mitigazione).
Il termine fissato dal legislatore va quindi sfruttato da chiunque tratti dati personali per il completamento di un processo di adeguamento alla normativa privacy.
