Fonte: Pharmasoft fea

Le sanzioni per chi tratta “male e superficialmente “ i dati personali.
Vedremo di chiarire gli aspetti sanzionatori ponendoci alcuni quesiti e fornendo una semplice tavola riassuntiva delle sanzioni previste.

Chi tratta dati personali può incorrere in sanzioni in caso di condotte illegittime?

La risposta alla prima domanda è sì: chi tratta dati personali violando le regole del “Codice” ovviamente viene sanzionato e le sanzioni possono essere sia di tipo “AMMINISTRATIVO” che “PENALE”.

La norma attuale prevede un sistema sanzionatorio particolarmente importante proprio per quelle violazioni che apparentemente sembrano irrilevanti.

Quante volte si è sentito dire “ma quello è un dato pubblico…”, “ma io non tratto dati sensibili e quindi non devo fare la privacy…”, “la mia privacy è sicura…”
Affermazioni di questo tipo purtroppo ancora molto frequenti, denotano una generalizzata scarsa consapevolezza dell’impostazione e dell’impianto privacy, nonostante i quasi 20 anni di legge e la prossima approvazione del EU Regulation Data Protection.

Le violazioni amministrative possono essere rilevate:

• sia dall’Ufficio del Garante (Dipartimento delle attività ispettive e sanzioni),
• sia da ogni ufficiale o agente di polizia giudiziaria che le abbia rilevate in caso di controlli, accertamenti o ispezioni.

Inoltre, in quasi tutte le violazioni del Codice, è prevista la possibilità che si paghi entro 60 giorni dalla notifica della contestazione, una somma pari al doppio del minimo previsto o di un terzo del massimo e comunque è sicuramente ben segnalato nel verbale di contestazione.

In alcuni casi non è possibile procedere al pagamento in misura ridotta e si deve attendere la conclusione del procedimento, i casi si riferiscono a:

• mancata adozione delle misure minime di sicurezza (compresa la mancata dimostrazione dell’adozione delle stesse)
• più violazioni in relazione a grandi banche dati

Oltre le sanzioni previste c’è sempre la scure del risarcimento del danno di cui all’art. 15 DLgs. 196/03, ovvero risarcimento dei danni civili patrimoniali e non patrimoniali sempre per effetto del trattamento illecito dei dati personali, anche in relazione al richiamo all’art. 2050 del codice civile.

Va infine ricordato che con il D.L. 30 dicembre 2008 n.207 (legge di stabilità), è stato introdotto l’art. 164 bis portando di fatto ad un inasprimento delle sanzioni previste dal titolo III capo I del codice Privacy e quindi delle sanzioni amministrative.

Pertanto, volendo fare un esempio concreto del calcolo effettuato, prendiamo a riferimento la prima ipotesi, ossia l’omessa o inidonea informativa all’interessato ex art. 161 DLgs. 196/03.

Il minimo indicato all’art. 161, è di 6.000 €, che ricalcolato ex art.164bis comma 1 (“in ragione delle minore gravità avendo anche riguardo alla natura economica o sociale dell’attività svolta”), si trasforma in 2.400 € (2/5 di 6.000 = 2.400).
Mentre il massimo ossia 2.400.000 €, è il frutto del seguente calcolo:

• 300.000 € anziché i 36.000 € di cui all’art. 161 (art. 164bis, comma 2, per “violazione di una o di più disposizioni del presente capo”)
• 300.000 € x 2 = 600.000 € (art. 164bis, comma 3, per i casi di “maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati”)
• 600.000 € x 4 = 2.400.000 € (ex art. 164bis comma 4, “quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore”).