LE SANZIONI PER IL RESPONSABILE DEL TRATTAMENTO DOPO IL GDPR: NON E’ POI TUTTO COSI’ CHIARO

Ormai è sulla bocca di tutti: il 25 maggio entrerà in vigore il Regolamento (UE) 679/2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, meglio noto come GDPR, l’acronimo inglese ormai d’uso prevalente (di seguito anche “Regolamento”).

L’intento del legislatore europeo, palesato nei numerosi considerando del Regolamento, è quello di uniformare la disciplina del trattamento dei dati personali nella UE, innalzando gli standard di tutela riconosciuti e garantiti ai soggetti interessati al trattamento.

Uno dei mezzi per raggiungere al meglio tali obiettivi è senza dubbio il principio di responsabilizzazione (o “accountability”), in base al quale non solo il titolare, ma anche – per la prima volta – il responsabile del trattamento sono direttamente responsabili delle violazioni commesse nell’ambito delle attività o fasi del trattamento di rispettiva competenza.

Si tratta senza dubbio di una delle principali novità introdotte dal Regolamento, che peraltro non sembra ad oggi aver attirato l’attenzione che ci si sarebbe aspettati.

Entrambi i soggetti, quindi, sono tenuti – ed ognuno risponde per sé in caso contrario – a porre in essere tutte le misure necessarie perché i dati vengano trattati in conformità al Regolamento. In tale ottica, il principio di responsabilizzazione passa non solo attraverso una migliore conoscenza della normativa, ma soprattutto attraverso una presa di coscienza, da parte dei soggetti che sono coinvolti nel trattamento, delle relative implicazioni, dei rischi connessi e di ciò che è necessario fare per limitare tali rischi[1].

Per assicurare che sia il titolare sia il responsabile del trattamento adempiano con la massima diligenza agli obblighi prescritti dal GDPR, il Regolamento, oltre a riconoscere il diritto al risarcimento dei danni subiti da chiunque (dunque non solo l’interessato) a causa di una violazione del Regolamento[2], prevede un sistema sanzionatorio articolato su due livelli: sanzioni amministrative pecuniarie[3], da un lato, e sanzioni penali, dall’altro.

Per quanto riguarda le sanzioni penali, in ottemperanza al principio di competenza esclusiva degli Stati membri in materia penale (come noto fanno eccezione solamente le aree di criminalità espressamente sancite all’art. 83 TFUE), il GDPR si limita a raccomandarne la previsione, lasciando ai legislatori nazionali piena autonomia, salvo il principio del ne bis in idem[4]. Gli Stati dovranno notificare le relative disposizioni di legge adottate alla Commissione entro il 25 maggio 2018.

Per quanto attiene le sanzioni amministrative, il quadro delineato dall’art. 83 GDPR è severo: a seconda della gravità delle violazioni i paragrafi 4 e 5 dell’art. 83 prevedono rispettivamente fino a 10 o 20 milioni di Euro o (se si tratta di imprese) fino al 2% o al 4% del fatturato mondiale totale annuo.

Come osservato, destinatari delle sanzioni amministrative possono essere sia il titolare, sia il responsabile del trattamento, ciascuno – almeno in linea di principio – a seconda degli obblighi di cui è gravato. Ciò si riflette chiaramente nel testo del paragrafo 2 dell’art. 83 GDPR, che, nell’elencare i criteri per valutare l’an e il quantum della sanzione pecuniaria, fa riferimento espresso (tra gli altri) al “grado di responsabilità del titolare del trattamento o del responsabile del trattamento” o alle “misure adottate dal titolare del trattamento o dal responsabile per attenuare il danno subito dagli interessati”.

Dobbiamo però chiederci come, nella pratica, detto principio si concreterà. Detto in altri termini, non è sempre chiaro quando e in che limiti la responsabilità di una violazione potrà essere attribuita al responsabile del trattamento, quando al titolare e quando a entrambi.

Infatti, mentre il par. 4 lett. a) dell’art. 83 GDPR àncora la sanzione alla violazione degli “obblighi del titolare o del responsabile a norma degli articoli 8[5], 11[6], da 25 a 39[7], 42[8] e 43[9]”, in quanto da tali norme espressamente posti in capo al titolare e/o al responsabile, il par. 5 per l’applicazione delle sanzioni più gravi fa riferimento alla violazione di precetti, o di principi, o di obblighi dettati dal GDPR, non facendo invece menzione dei soggetti attivi della violazione stessa[10].

E il punto sta proprio qui: come si individua allora chi, tra il titolare e il responsabile del trattamento, sarà soggetto alla sanzione, quando si parla della violazione di un principio di base del trattamento, o di un diritto dell’interessato oppure di un obbligo in tema di trasferimento dei dati?

Per meglio chiarire la questione, facciamo alcuni esempi.

Caso a) Trasferimento dei dati in un Paese fuori dal SEE.

Scenario 1. Nell’ambito del trattamento di dati, il responsabile del trattamento ha i propri server in un Paese terzo per il quale non c’è una decisione di adeguatezza della Commissione, né sono state adottate dal responsabile clausole di protezione né alcun altro meccanismo di adeguatezza. Il responsabile non informa il titolare del fatto di utilizzare server al di fuori del SEE.

Scenario 2. Nell’ambito del trattamento di dati, è il titolare ad avere dato espresse istruzioni al responsabile a trasferire i dati in un Paese terzo, nonostante non vi siano meccanismi di adeguatezza, né il consenso dell’interessato (in quanto rilevante). Il responsabile, vincolato dal contratto con il titolare, effettua il trasferimento, senza fare alcuna verifica, né sollevare obiezioni.

Caso b) Trattamento basato sul consenso.

Il titolare raccoglie dati per alcune determinate finalità, chiedendo il consenso agli interessati. Al responsabile del trattamento prescrive di effettuare il trattamento per una o più finalità per le quali non ha ottenuto il consenso, né esistono altre basi giuridiche legittimanti il trattamento. Il responsabile esegue le proprie obbligazioni contrattuali verso il titolare.

Nei casi sopra immaginati, al di là di eventuali clausole di manleva (operanti a livello civilistico), chi sarà sanzionato dall’autorità?

Chi scrive ritiene che, in ottemperanza al criterio del grado di responsabilità congiuntamente a quello del dolo o della colpa, nel Caso a) sub Scenario 1 tendenzialmente dovrebbe essere sanzionato il solo responsabile del trattamento, anche se permane un’area grigia, che potrebbe aprire la strada ad una sanzione anche nei confronti del titolare, ove in particolare il titolare non dimostri di aver quanto meno chiesto al responsabile del trattamento rassicurazioni sulla residenza dei dati trattati nell’ambito del loro rapporto.

Nello Scenario 2, ferma la punibilità del titolare, si potrebbe sostenere che il responsabile del trattamento ha adempiuto alle proprie obbligazioni contrattuali, cui era vincolato e che dunque non gli si possa muovere alcuna critica. Ritengo tuttavia che la questione sia un po’ più complessa e che, laddove la mancanza di legittimità sia manifesta o facilmente riconoscibile ed il responsabile del trattamento abbia la possibilità di verificare, egli non potrà andare esente da sanzione pecuniaria, sebbene, probabilmente, in misura inferiore rispetto al titolare.

Chi scrive ritiene che tali soluzioni prospettate possano dirsi ragionevolmente in linea sia con il principio di personalità della responsabilità amministrativa, sia con quello di responsabilizzazione di cui al GDPR. In buona sostanza, l’idea è che i due soggetti siano sanzionabili dall’autorità se e nella misura in cui abbiano il potere di conoscere ed incidere sulla eventuale violazione in corso.

Così, per tornare agli esempi sopra proposti, nell’opinione di chi scrive sarebbe troppo gravoso pretendere che al responsabile del trattamento di cui al Caso b) sia richiesto di verificare la sussistenza di tutti i consensi (o di altra base legale) per tutti i trattamenti che attua nell’interesse del titolare.

Tuttavia, quello che non sappiamo, e che sarà da vedere, è fino a che limite sarà richiesto che ciascuno dei due soggetti coinvolti nel trattamento verifichi che l’altro abbia effettivamente le carte in regola, sperando nel sempre auspicato buon senso delle autorità che tracceranno questo limite. Ad ogni modo, mi pare che questo bilanciamento di responsabilità tra titolare e responsabile del trattamento sia una delle aree che, alla luce delle novità introdotte dal GDPR, meritano particolare attenzione, soprattutto da parte dei consulenti, che dovranno guidare i rispettivi clienti (siano essi titolari o responsabili) nell’evitare di esporsi alle sanzioni previste dal GDPR o minimizzarne il rischio.


[1] A titolo di esempio, un corollario di tale presa di coscienza è l’eliminazione delle consultazioni e delle autorizzazioni preventive delle autorità di controllo (in Italia, il Garante della Privacy), mantenute solo per poche tassative ipotesi in cui il rischio connesso al trattamento è stato reputato dal legislatore europeo particolarmente alto.

[2] A norma dell’art. 82 GDPR, il risarcimento è dovuto anche in solido, quando il titolare e il responsabile del trattamento abbiano entrambi concorso alla realizzazione del danno. Si badi che il risarcimento non è dovuto solamente all’interessato del trattamento, ma a chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento.

[3] Restano ferme le ingiunzioni, gli ammonimenti e tutti i provvedimenti che, ex art. 58 GDPR, l’autorità può applicare in ogni caso di condotte illegittime.

[4] Il legislatore italiano aveva già introdotto nel d.lgs. 196/2003 (Codice della Privacy) delle fattispecie di reato per le ipotesi di violazione più grave. Tali fattispecie sono formulate con la tecnica del rinvio alle norme. Pertanto, posto che il Regolamento fa salve le disposizioni nazionali salva incompatibilità, in attesa di un intervento di coordinamento tra le  nuove norme del GDPR e le fattispecie penali previste dal Codice della Privacy, l’interprete dovrà capire l’ambito di permanenza in vigore ed applicabilità delle attuali norme incriminatrici sulla base di un’analisi sostanziale del contenuto delle disposizioni cui fanno rinvio in termini di compatibilità con il GDPR.

[5] Art. 8 Consenso del minore.

[6] Art. 11 Trattamento che non richiede l’identificazione.

[7] Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita; Art. 26 Contitolari del trattamento; Art. 27 Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione; Art. 28 Responsabile del trattamento; Art. 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento; Art. 30 Registri delle attività di trattamento; Art. 31 Cooperazione con l’autorità di controllo; Art. 32 Sicurezza del trattamento; Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo; Art. 34 Comunicazione di una violazione dei dati personali all’interessato; Art. 35 Valutazione d’impatto sulla protezione dei dati; Art. 36 Consultazione preventiva; Art. 37 Designazione del responsabile della protezione dei dati; Art. 38 Posizione del responsabile della protezione dei dati; Art. 39 Compiti del responsabile della protezione dei dati.

[8] Art. 42 Certificazione.

[9] Art. 43 Organismi di certificazione.

[10] In conformità al paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’auto.