Le sanzioni esistono

1. Note introduttive

Spesso i nostri clienti chiedono a noi consulenti quali sono, e in che modo sono realmente articolate, le sanzioni in tema di protezione dei dati personali. Ancora più spesso siamo noi, i consulenti, che dobbiamo ricordare ai nostri clienti che le violazioni del Codice privacy (il d.lg. 196/2003) essendo le violazioni di una legge cogente non rimangono indolori.

Almeno non sul piano teorico. A livello pratico, si dice o si pensa spesso, però, una cosa diversa, si dice che non è così frequente essere sanzionati, o che almeno che le sanzioni non siano così frequenti da doversene preoccupare. O non sono almeno così automatiche da potersi pensare che chi è inadempiente debba pagare per le sue infrazioni.

Eppure, le sanzioni per la violazione degli obblighi della legge ci sono, l’Autorità Garante per la protezione dei dati personali sanziona veramente i violatori.

In queste brevi note si da un quadro agile e veloce dell’attività ispettiva e sanzionatoria dell’Autorità Garante utilizzando le informazioni che il Garante stesso ha presentato al parlamento nel luglio 2011 ad illustrazione delle attività del 2010, in alcuni punti queste informazioni sono poi state integrate con quelle fornite anche dalle altre relazioni annualmente presentate al Parlamento dall’autorità indipendente.

Si tratta di informazioni liberamente disponibili presso il sito dell’autorità www.garanteprivacy.it. Ovviamente queste informazioni sono anche valutate a fronte di un’attività professionale di diversi anni nel corso dei quali abbiamo assistito a controlli, ad accertamenti, a richieste di informazioni e chiarimenti.

1.1 L’attività ispettiva e i controlli del Garante

L’Autorità Garante per la protezione dei dati personali dispone sin dalla sua creazione di un potere sanzionatorio effettivamente esercitato tramite un apposito ufficio interno all’autorità. L’attività ispettiva di controllo avviene sia tramite un programma elaborato in modo autonomo annualmente e periodicamente comunicato che prevede controlli di cui si indicano gli obiettivi e i campi generali di indagine. Ma al tempo stesso i controlli vengono anche avviati per effetto di segnalazioni che l’Autorità Garante riceve da parte dei cittadini.

L’autorità esegue controlli direttamente e tramite il Nucleo speciale privacy, ma inoltre procede a controlli tramite le segnalazioni che riceve dai cittadini.

Nel 2010 si è proceduto a 474 controlli cui si sommano 109 operazioni di controllo e verifica dietro segnalazioni dei cittadini. Poiché queste 583 operazioni di controllo e verifica hanno portato (cfr. oltre per i particolari nel paragrafo dedicato alle sanzioni amministrative) a 424 sanzioni amministrative, ne consegue che, una visita ispettiva del Garante porta, nel 72,7% dei casi, ad una sanzione amministrativa e ben di rado (nel 9% dei casi) ad una denuncia alla procura per la segnalazione di reati connessi alla protezione dei dati personali.

Questa è una tendenza che comunque è consolidata negli ultimi anni perché a partire dal 2008 il rapporto tra controlli e sanzioni elevate appare costante nonostante si sia assistito ad un incremento costante del numero dei controlli.

Questo il grafico dell’andamento dei controlli e delle sanzioni in Italia a partire dal 2002 (dati presi dalle relazioni dell’Autorità Garante nel corso degli anni):

1.1.1 Il “crimine” che non paga
A questo punto serve fornire un’ulteriore conferma sul fatto che il delitto non paghi. O almeno non paga quando si tratta delle sanzioni previste dal Codice privacye quindi di sanzioni dovute agli inadempimenti rispetto agli obblighi di legge.La motivazione del nostro deciso “no” nasce dal fatto che la sanzione, quale essa sia come tipologia e/o entità, non sana assolutamente la posizione: non elimina l’inadempimento e, nei casi più gravi, la posizione penalmente rilevante. Quindi, pagata la sanzione bisogna comunque “mettersi a posto”.In buona sostanza se qualcuno tenta di fare il calcolo (più propriamente “la scommessa”) se convenga rischiare, e pagare la sanzione se “scoperti”, piuttosto che investire denaro nell’adeguamento, deve tenere ben presente tre elementi:

  • se si è colti in fallo il primo (ma non unico) costo da sostenere è quello della sanzione, quasi esclusivamente economico;
  • a questo si deve aggiungere il costo (economico e organizzativo) per (ri)mettersi a norma, cosa che va fatta in tempi stretti e comunque imposti dal Garante. Vi sono anche i costi di formalizzazione delle misure adottate e della dimostrazione concreta dell’attuazione delle medesime al Garante (e non farlo “vi” fa diventare come uno dei sette soggetti che l’Autorità Garante ha segnalato nel 2010 per non avere rispettato le proprie indicazioni, reato punito con la reclusione sino a due anni (cfr. art. 170 d.lg. 196/2003);
  • Ulterior sed non ultimus” vi è un costo, praticamente non calcolabile ma certamente ingentissimo in termini organizzativi e di immagine verso il mercato, derivante dalla più minacciosa delle cosiddette “sanzioni accessorie” previste, e cioè il “blocco dei trattamenti”: in sostanza finché non si è dimostrato al Garante di avere conseguito l’adeguamento, i trattamenti oggetto di sanzione non possono essere effettuati! Nella maggior parte dei casi esaminati questo blocco dei trattamenti è stato equivalente ad un blocco della attività reale. Il più semplice degli esempi: se viene rilevato un trattamento “inadeguato od omesso” (es. Inadeguata od omessa informativa, o mancata raccolta del consenso ove previsto) in una campagna promozionale, o in un concorso o attività simile, come primo atto viene bloccata la “campagna” finché non sono stati raccolti TUTTI i consensi specifici da parte dei partecipanti già “registrati”… Praticamente l’attività finisce su un binario morto perché i tempi per recuperare tale documentazione a posteriori sono probabilmente più lunghi della scadenza del periodo dedicato alla promozione. Lasciamo ad ogni uomo di marketing la valutazione dell’impatto sulla clientela, reale o potenziale, di un evento simile. Dove lo abbiamo visto accadere è stato pesantemente negativo.

In sostanza costa meno essere law compliant che scommettere di farla franca…

1.2 Il sistema sanzionatorio
Le sanzioni connesse alle violazioni della legge possono essere penali (nei casi più gravi), o amministrative. Le seconde sono comminate dal Garante privacy e possono essere giustiziate presso il tribunale amministrativo. Nel 2010 65 ricorsi avverso i provvedimenti del Garante già definiti sono tutti stati rigettati (cfr. la Relazione 2010 del Garante privacy a p. 185). Pertanto non è consigliabile cercare di adire le vie giudiziarie che rischiano molto facilmente di tradursi semplicemente in un aumento dei costi.

1.2.1 Le sanzioni penali
Il Codice privacy, prevede innanzitutto delle sanzioni di natura penale per le condotte più gravi. Le sanzioni penali non sono frequentissime ma nel corso dei quasi cinquecento casi di ispezione, nel 2010, il Garante ha dato impulso ad indagini di natura penale per cinquantacinque volte. Sono, in ogni caso, delle indagini che si aprono e, nel migliore dei casi, si chiudono dopo qualche tempo con un decreto di archiviazione, ma nei casi più gravi non si può escludere che dalle indagini preliminari non si sfoci nel dibattimento (il processo) vero e proprio.

1.2.2 Le sanzioni amministrative
Accanto alle sanzioni di natura penale i comportamenti in violazione della legge comportano, quasi ogni volta, la possibilità per l’Autorità Garante di irrogare una sanzione che oscilla da un minimo ad un massimo edittale. Le sanzioni sono, nei casi più gravi, anche molto salate perché possono superare il milione di euro.

2. Le sanzioni nel 2010
2.1. Le sanzioni penali
Il Garante ha fornito informazioni che ci consentono di creare un quadro prospettico delle contestazioni di reato compiute nel 2010:

Nella maggior parte dei casi il Garante ha contestato la mancata adozione delle misure di sicurezza (34/55) e le violazioni connesse al controllo dell’attività lavorativa dei dipendenti.Sono questi i temi che destano comprensibilmente le maggiori preoccupazioni, e all’interno delle misure di sicurezza dominano le contestazioni dovute alla mancata consegna delle lettere d’incarico, e la mancanza di formali procedure per l’autenticazione.

2.1.1. Una pericolosa specificità

Le ispezioni sui sistemi di videosorveglianza spesso non conducono “solo” all’accertamento di violazioni rispetto agli obblighi dettati dal Codice privacy, con le relative sanzioni, ma conducono anche (e vi sono ormai parecchi casi consolidati) a contestazioni di mancato rispetto dello Statuto dei Lavoratori. La realtà è che, troppo spesso, un sistema di videosorveglianza si traduce in un controllo a distanza del lavoratore, o come tale viene considerato dagli ispettori.

Come noto, per porre al riparo da contestazioni simili controlli deve essere rispettato non solo quanto prescritto dall’Autorità Garante in tema di protezione dei dati personali, ma anche quanto previsto dalle norme del diritto del lavoro. Quindi, innanzitutto, serve concludere accordi precisi con le rappresentanze sindacali.

In questi casi il reato segnalato alla procura della repubblica crea innanzitutto un clima di tensione nell’ambito delle relazioni industriali, e vi è sempre il rischio che il tema si allarghi dalla videosorveglianza anche agli altri sistemi di controllo del dipendente/incaricato (quelli connessi all’uso di strumenti elettronici).

2.2. Le sanzioni amministrative

Come si può notare dal grafico qui sotto, analogo a quello che illustrava le sanzioni penali e anche questo elaborato a partire dalle informazioni ufficiali che l’Autorità Garante ha presentato al parlamento nel luglio 2011 per l’anno 2010, le sanzioni amministrative elevate sono in coerenza con i rilievi penalmente rilevanti, tanto è vero che per 124 volte (su 424 sanzioni irrogate) il Garante ha contestato l’omessa adozione di misure di sicurezza.

Ma a “farla da padrone” sono le informative omesse o inidonee: un vero biglietto da visita da cui il Garante inizia ad esaminare le posizioni dei titolari e che ben di rado superano il vaglio degli ispettori. Fra l’altro si tratta del documento più facile da acquisite o del quale verificare l’inesistenza o l’inadeguatezza. Poiché la sanzione minima per una informativa inidonea è duemila euro (e deve notarsi che conta il numero di informative consegnate non il tipo di informative: se l’informativa inidonea o omessa riguarda un concorso a premi la sanzione base deve essere moltiplicata per il numero di concorrenti…), in questa occasione possiamo stimare che le sanzioni non possono essere state inferiori, complessivamente, a 478.000 euro.

3. Gli importi delle sanzioni negli anni

Complessivamente il peso delle sanzioni è salito molto negli ultimi anni, anche per effetto delle modifiche legislative che hanno aumentato i massimi edittali delle sanzioni amministrative.

3.1 I massimi ed i minimi
Nel 2010 le sanzioni irrogate complessivamente vanno da un minimo edittale di € 5.200.000 ed un massimo di € 31.100.000, significa che, in rapporto con le ispezioni effettuate (circa 500), si può stimare in oltre diecimila euro la sanzione mediamente irrogata ai titolari del trattamento che risultino inadempienti rispetto agli obblighi di legge.

Questa è comunque il grafico che mostra l’incremento delle sanzioni negli ultimi anni:

Questi conti, malamente interpretati con il numero di sanzioni amministrative elevate, dicono che, mediamente, una sanzione amministrativa del Garante, quando arriva, costa dai dodici ai settantatremila euro.

3.2. Gli importi già incassati
Gli importi sopra indicati sono ovviamente tutti teorici e da definire, perché è evidente che qualora una sanzione del Garante venga contestata con ricorso alla giustizia amministrativa, nonostante il Garante tenda a venire riconosciute le proprie ragioni (cfr. quanto già detto sopra nel paragrafo sul sistema sanzionatorio), pertanto il Garante ha anche iniziato a fare i conti con i soldi che effettivamente vengono incassati come conseguenza della propria attività sanzionatoria, sono quindi le sanzioni definite e non più pendenti presso i tribunali amministrativi.

Nel corso degli ultimi quattro anni (dal 2007 al 2010 inclusi) tali somme sono molto aumentate ed è probabile che aumenteranno ancora, perché non si sono ancora sentiti gli influssi dell’aumento delle sanzioni definito nel 2008 (cfr. la Relazione 2010 del Garante a p. 200):

Non è sbagliato ipotizzare secondo noi (ma mancano informazioni dettagliate al riguardo), che anche gli importi incassati continueranno ad aumentare e di molto, via via che si definiranno i provvedimenti sanzionatori che sono stati emessi a partire dal 2008. Il grafico inserito qui sotto mostra, nell’incremento tra il 2009 e il 2010, che la tendenza è già emersa e che probabilmente da un punto di vista pecuniario si tradurrà in un iperbolico (il termine non è usato se non in chiaro riferimento alla funzione matematica) aumento degli importi.

È quasi superfluo sottolineare che quindi, nel corso dei prossimi anni diverrà via via sempre meno vantaggioso, essere inadempienti rispetto agli obblighi del Codice Privacy.

Autori: maragines

Ha vissuto in più di tre città d'Italia non solo per ragioni lavorative, si è laureato in giurisprudenza e continuando a ricordarselo ha cominciato ad occuparsi di protezione dei dati personali di sistemi informativi, di metodo, e di organizzazione. Fatalmente è divenuto l'avvocato per tutti quelli che si paralizzano davanti ad una legge (ma non è avvocato e non desidera esserlo), e un informatico per tutti quelli che non sanno distinguere una banana da un computer (ma non è un informatico e si guarda bene dal divenirlo).

1 Commento

  1. Nel corso delle vacanze natalizie spero di aggiungere gli aggiornamenti con l’ultima presentazione delle attività del vecchio presidente (Pizzetti). Nell’ultima relazione dovrebbero esserci anche informazioni che riguardano il 2011.

Lascia un commento

I campi richiesti sono evidenziati con *.