Manovra di fine anno: raddoppiano le sanzioni privacy per i trasgressori!
Manovra di fine anno: raddoppiano le sanzioni privacy per i trasgressori!
Avv. Graziano Garrisi
Digital & Law Department – Studio Legale Lisi – www.studiolegalelisi.it
Chi pensava che il 2008 ci avrebbe lasciato solo qualche buona rassicurante notizia in tema privacy e adempimenti vari per P.A., imprese e professionisti, evidentemente si sbagliava.
Il Governo, infatti, con il decreto legge n° 207/2008 (c.d. “milleproroghe”) ha apportato alcune importanti modifiche in tema di sanzioni a carico di tutti coloro che non rispettano con rigore la normativa privacy o comunque trattano dati personali in maniera illecita.
Se vogliamo possiamo considerarle come l’altra faccia della medaglia ovvero il “lato oscuro” delle precedenti modifiche apportate al Codice Privacy (in tema di “semplificazioni e misure di sicurezza”).
Le tanto sospirate semplificazioni burocratiche e legislative in materia di trattamento dei dati personali, infatti, erano state caldeggiate da molti quale una panacea in grado di alleggerire il carico degli adempimenti privacy e risolvere gli annosi problemi all’interno di aziende, P.A. e studi professionali.
Tutto questo è vero fino ad un certo punto; infatti, a ben vedere, la manovra del Governo ha voluto colpire chiunque acquisisce e tratta dati personali, soprattutto se sensibili e giudiziari, in maniera non corretta, per garantire sempre di più i diritti dell’interessato e per prevenire furti di identità o lesioni alla riservatezza che, nell’anno passato, hanno fatto incrementare le cause civili e penali in materia, affollando le aule dei Tribunali.
Le principali modifiche interessano i Titolari del trattamento dal punto di vista di un innalzamento delle sanzioni a loro carico, spaziando dall’omessa informativa o mancata collaborazione con il Garante nel corso di una richiesta di informazioni o ispezioni alla mancata notificazione, fino a modificare l’art. 169 che attiene agli illeciti penali.
Una delle novità nel testo di legge riguarda, innanzitutto, l’art. 161 del Codice Privacy, dove è stato previsto l’accorpamento delle sanzioni per “omessa o inidonea informativa” ex art. 13 d.lgs. 196/2003: viene eliminata così la maggiorazione della sanzione prevista sia per la tipologia di dato trattato (sensibile o giudiziario) sia per le condizioni economiche del contravventore e viene introdotta un’unica fascia che va da 6.000,00 a 36.000,00 euro, innalzando così il minimo edittale della sanzione, ma riducendone al contempo il tetto massimo.
All’art. 162 del Codice, poi, oltre ad essere state raddoppiate le sanzioni previste, è stato introdotto un’ulteriore comma, il 2-bis, che prevede la sanzione amministrativa in caso di trattamento di dati personali effettuato in violazione delle “misure minime di sicurezza” indicate nell’art. 33 o delle disposizioni indicate nell’art. 167: in tale ipotesi, infatti, verrà in ogni caso applicata una sanzione amministrativa che prevede il pagamento di una somma compresa tra i 20.000,00 e i 120.000,00 euro e, nei casi di cui all’art. 33, viene addirittura escluso il pagamento (entro sessanta giorni) in misura ridotta precedentemente consentito al titolare!
Altro che semplificazioni privacy! Qui sembra, invece, che il Governo abbia voluto punire, in maniera veramente pesante, tutti coloro che non rispettano quelle regole di prudenza informatica e organizzativa che dovrebbero essere predisposte ovunque si trattino dati personali altrui (che vanno dalla nomina per iscritto degli incaricati all’aggiornamento dei programmi per elaboratore e dell’antivirus; dalla definizioni di profili di accesso all’utilizzo di strumenti informatici con password; dal back up periodico alla predisposizione di accurati piani di disaster recovery).
Per quanto riguarda le “misure c.d. necessarie” e nelle ipotesi in cui lo stesso Garante prescrive al Titolare di adottare le misure opportune al fine di rendere il trattamento conforme alle disposizioni di legge o vieta, in tutto o in parte, il trattamento illecito o non corretto dei dati o nel caso di blocco ai sensi dell’art 143, verrà applicata, in ogni caso, una sanzione amministrativa compresa tra i 30.000,00 e i 180.000,00 euro.
Viene raddoppiata, inoltre, la sanzione prevista per “omessa o incompleta notificazione al Garante” ex art. 37 del Codice (da 20.000,00 a 120.000,00 euro, anche se viene eliminata la sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione) e quella per “omessa informazione o esibizione al Garante” (da 10.000,00 a 60.000,00 euro).
Vero è, poi, che per bilanciare questa linea dura, il Governo ha introdotto l’articolo 164-bis (“Casi di minore gravità e ipotesi aggravate”) che prevede una riduzione delle sanzioni indicate agli artt. 161, 162, 163 e 164 pari ai 2/5 dei minimi e dei massimi per le violazioni meno gravi, tenendo presente anche la natura (economica o sociale) del titolare/trasgressore.
Ad aggravare, tuttavia, questa particolare situazione di beneficio la norma ha previsto che i titolari di banche dati di particolare rilevanza o dimensioni e nel caso di più violazioni di un’unica o di più disposizioni di quelle sopra evidenziate rischiano una sanzione da 50.000,00 a 300.000,00 euro, senza possibilità di beneficiare del pagamento in misura ridotta.
Se poi la condotta del Titolare è di maggiore gravità o è idonea a cagionare un pregiudizio di maggiore rilevanza o coinvolge più interessati, allora in questi casi le relative sanzioni potrebbero essere raddoppiate o addirittura quadruplicate quando, da un esame del Garante, vengano valutate inefficaci in ragione delle condizioni economiche del contravventore.
Per quanto riguarda gli illeciti penali, infine, il decreto modifica le sanzioni previste per l’omessa adozione delle misure minime di sicurezza, eliminando dall’art 169, comma 1, del Codice Privacy la possibilità di applicare alternativamente la sanzione pecuniaria a quella detentiva; in sostanza rimarrebbe applicabile solo la condanna all’arresto fino a 2 anni!
Privacy, ma non solo: con tale decreto, infatti, viene modificato anche l’articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206 (Codice del Consumo), nella parte relativa ai “contratti a distanza”. Per tali contratti, il professionista che contravviene alle norme previste in tale capo o non fornisce l’informazione al consumatore oppure ostacola l’esercizio del diritto di recesso, fornisce informazioni incomplete o errate o comunque non conformi sul diritto di recesso da parte del consumatore (secondo le modalità di cui agli articoli 64 e seguenti) ovvero non rimborsa al consumatore le somme da questi eventualmente pagate, potrà essere punito con la sanzione amministrativa pecuniaria da tremila euro a diciottomila euro.
In conclusione, possiamo affermare, quindi, che con il decreto “Milleproroghe 2008” (decreto legge 30 dicembre 2008, n. 207), il Governo ha riservato una bella stangata di fine anno a quanti si troveranno alle prese con gli adempimenti e le scadenze del prossimo 31 marzo previsti dalla normativa privacy. Non ci resta che attendere per verificare se cambierà qualcosa in sede di conversione, anche se alla luce di tali modifiche i titolari del trattamento non potranno certo dormire sonni tranquilli!