Dopo aver illustrato le tematiche salienti del prossimo Regolamento europeo sulla privacy, ricordiamo, in attesa di approvazione (in particolare, il sistema di responsabilità, i principi e i diritti in capo ai soggetti coinvolti, nonché le misure e gli adempimenti a carico delle diverse figure responsabili), meritano un cenno gli aspetti legati alla violazione delle norme del citato Regolamento.
Premettendo che possono stare tranquilli i soggetti “persona fisica” che trattano dati nell’ambito di attività esclusivamente personali e domestiche o dati anonimi (cioè non riconducibili o non facilmente riconducibili a una persona fisica), l’interessato – o le regolari associazioni che agiscono a tutela dei suoi interessi – ha la possibilità di proporre reclamo all’autorità di controllo di qualsiasi Stato membro. In aggiunta, gli stessi soggetti (e comunque ogni persona fisica o giuridica) possono presentare ricorso avverso tanto l’autorità di controllo (se non sono soddisfatti di come questa ha agito nelle sue funzioni) quanto il responsabile o l’incaricato del trattamento.
Il Regolamento, oltre a promuovere al massimo la semplicità e l’efficacia dei procedimenti giudiziari, mette in luce il principio della responsabilità in solido per l’intero ammontare del danno nel caso in cui il trattamento, coinvolgente più responsabili, sia connotato da illiceità tale da generare, a monte, una richiesta di risarcimento da parte dell’interessato (salvo, ovviamente, la dimostrazione di non imputabilità in capo al responsabile).
Il sistema sanzionatorio – con riguardo al responsabile del trattamento ed eventualmente al suo rappresentante – è strutturato in modo che le sanzioni amministrative irrogate dalle autorità di controllo tengano conto di una serie di circostanze, come ad esempio il tipo di violazione, le misure adottate dal responsabile, la tipologia di dato coinvolto, gli interessi pecuniari sottostanti la violazione, il grado di cooperazione con l’autorità di controllo, etc.
Anche se il legislatore europeo ha inteso essere “morbido” in caso di semplice colpa nella prima violazione delle norme – prevedendo un avvertimento scritto e riservandosi comunque di esaminare una complessa serie di criteri per valutare se il caso merita l’irrogazione di una sanzione amministrativa – il Regolamento è molto esplicito nell’evidenziare le amare conseguenze di ben individuate violazioni (dolose o colpose che siano).
Non entreremo in questa sede nel merito delle numerose tipologie di violazione; è sufficiente avvisare che le sanzioni amministrative pecuniarie sono classificate in tre diversi livelli crescenti di gravità: il primo livello può comportare esborsi fino a 250.000 Euro (o, per le imprese, fino allo 0,5 % del fatturato mondiale annuo) mentre il terzo livello può comportare esborsi fino a 100.000.000 Euro (o, per le imprese, fino al 5 % del fatturato mondiale annuo).
Detto ciò, concludiamo e rimaniamo in attesa di vedere la versione definitiva di questo Regolamento Europeo sulla privacy, compresi gli ulteriori atti normativi che specificheranno l’attuazione concreta delle prescrizioni generali fin qui sinteticamente illustrate.
Michele Viel – Centro Studi CGN