Il sistema sanzionatorio delineato dal nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 679/2016, c.d. GDPR) si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie, le quali rientrano nell’insieme degli strumenti che le autorità di controllo in ogni singolo Stato membro dell’Unione Europea hanno a disposizione, al fine di assicurare una corretta ed uniforme applicazione delle disposizioni del GDPR in tutto il territorio europeo.
In particolare, nel momento in cui venga riscontrata ed accertata la violazione delle norme sancite dal GDPR, l’autorità di controllo competente (in Italia, l’Autorità Garante per la protezione dei dati personali) potrà individuare la misura di carattere sanzionatorio più appropriata al fine di porre rimedio alla situazione.
Nello specifico, come previsto dall’art. 83, sarà possibile, per l’autorità di controllo, comminare anzitutto delle sanzioni amministrative pecuniarie in presenza di un’amplissima gamma di violazioni (anche per inadempimenti parziali della normativa) specificamente elencate dalla norma stessa. Tuttavia, come vedremo meglio in seguito, l’elencazione contenuta nel GDPR è tutt’altro che d’aiuto nel circoscrivere le possibili condotte che espongono a sanzioni: l’art. 83 fa infatti riferimento a numerosissimi articoli del Regolamento, molti dei quali per di più contengono principi e regole generali.
Peraltro, in aggiunta o in alternativa alle sanzioni pecuniarie, le Autorità garanti potranno applicare anche altre misure di tipo correttivo, previste invece dall’art. 58 del GDPR (tra cui, ad esempio, rivolgere avvertimenti e ammonimenti al titolare e al responsabile in caso di violazioni riscontrate o presunte della normativa, imporre limitazioni ai trattamenti, fino a vietarli completamente, e revocare le certificazioni se i requisiti non risultano soddisfatti). La norma in ultimo richiamata fornisce, infatti, un elenco degli strumenti e dei poteri riconosciuti all’autorità di controllo competente che vanno dai poteri di indagine a quelli di accesso ai dati e ai locali aziendali, fino a quelli correttivi e consultivi.
Inoltre, come specificato poi dall’art. 83, paragrafo 3, “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.
In aggiunta a quanto previsto dal GDPR, occorre tenere presente che il diritto dei singoli Stati membri dell’Unione Europea potrà anche estendere, come espressamente previsto dall’art. 83, paragrafo 7, il campo di applicazione delle misure correttive di cui all’art. 58, paragrafo 2 e delle sanzioni amministrative pecuniarie di cui all’art. 83, che potranno essere inflitte, ove previsto, non solo dal Garante, ma anche da altre autorità pubbliche dello Stato membro. L’art. 83, paragrafo 7 dispone infatti che “Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro”.
L’ordinamento giuridico di ogni singolo Stato potrà poi anche consentire, o addirittura imporre, l’irrogazione di ulteriori sanzioni amministrative pecuniarie per la violazione di disposizioni in materia di protezione dei dati personali diverse da quelle già indicate dal GDPR all’art. 83: in altre parole, l’elencazione ivi prevista potrebbe essere ulteriormente ampliata e arricchita dai singoli ordinamenti nazionali.
Questo è quanto viene stabilito specificamente dall’art. 84 del GDPR, il quale precisa che le sanzioni dovranno in ogni caso essere effettive, proporzionate e dissuasive. In questa ipotesi, ogni Stato membro dovrà notificare alla Commissione le disposizioni normative adottate in tal senso, entro il 25 maggio 2018, data in cui il GDPR sarà pienamente applicabile in tutto il territorio dell’Unione Europea.
Dovranno, del resto, essere comunicate anche tutte le successive modifiche apportate alle misure in questione senza ritardo.
Ad ogni buon conto, il GDPR precisa che ogni caso dovrà essere valutato singolarmente e con specifico riferimento alle particolarità del contesto in cui si verifica la violazione ai fini dell’applicazione concreta delle sanzioni amministrative pecuniarie.
L’art. 83, paragrafo 2 stabilisce, a questo proposito, che al momento di decidere se infliggere una sanzione amministrativa pecuniaria, e di fissare l’ammontare della stessa, si dovrà tenere nella dovuta considerazione una serie di elementi specifici che la norma stessa provvede poi ad elencare. Tra questi, come si avrà modo di precisare nel prosieguo di questo Speciale di approfondimento sul GDPR si trovano, ad esempio: la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo, le misure eventualmente adottate direttamente dal titolare o dal responsabile del trattamento al fine di attenuare il danno subito dagli interessati, le categorie di dati personali oggetto della violazione, le eventuali precedenti violazioni già commesse dal titolare o dal responsabile del trattamento, e così via.