Sanzioni pesanti per violazioni ed errori legati ai dati personali

Quali sono le conseguenze per i datori di lavoro in caso di violazione della normativa sulla protezione dei dati personali, nelle verifiche del green pass? Le sanzioni previste non sono di poco conto alla luce di quanto previsto dal Regolamento 679/2016 (il Gdpr), integrato dal Codice della Privacy come aggiornato e modificato dal Dlgs 101/2018.

L’articolo 83 del Gdpr distingue due gruppi di violazioni e di sanzioni: nel primo gruppo rientrano le violazioni “di minore gravità”, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (si tratta ad esempio delle violazioni relative al Registro del trattamento dei dati).

Il secondo gruppo di violazioni è punito da sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Rientrano in questa categoria, ad esempio, le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso; le violazioni dei diritti degli interessati in base agli articoli da 12 a 22 (tra i quali gli obblighi di informativa ex articolo 13 del Gdpr).

L’Autorità di controllo (il Garante per la Privacy) è l’organo competente a irrogare le sanzioni.

Le sanzioni dovranno essere sempre effettive, proporzionate e dissuasive (articolo 83 del Gdpr), considerando le dimensioni aziendali, la natura, la gravità, la durata della violazione, il suo carattere doloso o colposo, le categorie di dati personali interessate dalla violazione e così via. In alternativa o in aggiunta a queste sanzioni, l’Autorità potrà comminarne altre (articolo 58, paragrafo 2 del Gdpr): avvertimenti, ammonimenti, ingiunzioni.

Le violazioni della privacy possono comportare anche un danno per l’interessato i cui dati sono stati violati. In questo caso l’interessato può chiedere un risarcimento. I soggetti imputabili sono il titolare e il responsabile del trattamento.

Il Gdpr rinvia alle normative degli Stati membri sulla configurazione della violazione della privacy come reato. L’Italia si è adeguata revisionando il Codice della Privacy. Infatti, da una parte, illeciti che il Gdpr inquadra come amministrativi, per l’Italia costituivano reati; dall’altra parte, l’Italia ha introdotto fattispecie di reato nuove che nel complesso vanno a inasprire il sistema sanzionatorio per violazione della privacy.

La fattispecie più inerente alla questione green pass è il trattamento illecito dei dati personali, per il quale si rischia la reclusione da 6 a 18 mesi, se dal fatto deriva nocumento; la reclusione da 6 a 24 mesi, se il fatto consiste nella comunicazione e/o diffusione; la reclusione da 1 a 3 anni, se il fatto è messo in atto per trarre profitto, per sé o altri, o per arrecare danno.