Sicurezza

Caselli (Garante Privacy): Attenti alle sanzioni, insidie ovunque

Giornalista professionista dal 2000. Da 15 anni, Stefano si occupa di giornalismo Ict maturando competenze anche nel consumer electronics. Stefano ha iniziato la sua esperienza giornalistica nel 1996 presso la redazione economica di ItaliaOggi.

Google + Linkedin Subscribe to our newsletter Write a comment

Antonio Caselli, Responsabile dell’Unità documentazione internazionale e riforma normativa Ue del Garante Privacy, spiega le sanzioni nel GDPR

“La quasi totalità delle disposizioni del regolamento è assistita da sanzioni pecuniarie”. Sentenzia così, Antonio Caselli, Responsabile dell’Unità documentazione internazionale e riforma normativa Ue del Garante Privacy su uno degli aspetti del Regolamento Ue sul trattamento dei dati personali (GDPR) che è stato approvato lo scorso anno e il 25 maggio 2018 sarà operativo a tutti gli effetti. Uno dei punti più spinosi del regolamento è la questione delle sanzioni, sia sotto il profilo delle applicazioni, sia sotto il profilo delle responsabilità e sia sotto il profilo della discrezionalità di applicazione da parte degli organi competenti.

Il regolamento prevede sanzioni pecuniarie armonizzate in termini di criteri per l’imposizione (si veda l’articolo 83, paragrafo 2) e l’ammontare massimo imponibile. Tuttavia, le autorità nazionali (quindi il Garante) – spiega Caselli hanno un margine discrezionale nello stabilire se e quanto sanzionare “in aggiunta o in sostituzione” alle altre misure correttive di cui dispongono in base al regolamento (che comprendono, ai sensi dell’articolo 58,  provvedimenti blandi come un ammonimento o misure più consistenti che giungono al divieto di trattare dati personali o all’ingiunzione di dare corso a specifiche prescrizioni)”.

Il regolamento prevede la definizione di criteri pan-europei più precisi per l’imposizione della sanzione pecuniaria e il calcolo dell’ammontare di questa sanzione, quale compito specifico  del “Comitato europeo per la protezione dei dati”, formato da rappresentanti delle autorità nazionali.

Antonio Caselli, Responsabile dell’Unità documentazione internazionale e riforma normativa Ue del Garante Privacy
Antonio Caselli, Responsabile dell’Unità documentazione internazionale e riforma normativa Ue del Garante Privacy

“E’ necessario, infatti, a norma di regolamento, garantire che si tratti di sanzioni equivalenti in tutti i Paesi Ue. Tuttavia – continua – l’applicazione e l’irrogazione materiale delle sanzioni sono lasciate ai meccanismi procedurali nazionali. Le sanzioni di cui all’articolo 83 del regolamento riguardano violazioni della quasi totalità degli articoli del regolamento stesso; in altri termini, la quasi totalità delle disposizioni del regolamento è assistita da sanzioni pecuniarie. Ovviamente la non-violazione delle disposizioni del regolamento è la migliore garanzia contro ogni tipo di sanzione; l’indicazione che si può dare è, ancora una volta, di natura proattiva: la parola chiave è “accountability”, cioè agire secondo un principio di responsabilità attiva che mira a prevenire l’insorgere di problematiche legate al trattamento di dati personali. Vi sono poi alcuni elementi (fattori di “mitigazione”) di cui tenere conto: per esempio, il regolamento prevede che  l’adesione a specifici codici di condotta (anche settoriali) o a schemi di certificazione (quando saranno disponibili) è un elemento di cui l’autorità dovrà tenere conto nel valutare il contesto in cui un’azienda ha eventualmente violato una determinata disposizione del regolamento, come pure la tempestività nella segnalazione di una violazione dei dati (data breach). Tuttavia – conclude Caselli – il fatto di disporre di una certificazione non è, in alcun modo, una esimente di responsabilità né esclude alcun tipo di intervento da parte del Garante. Non si tratta, come si vede, di elementi ignoti al sistema normativo nazionale”.

Per saperne di più, leggi anche la nostra inchiesta sulla sicurezza cliccando qui