Commento all'Articolo 166 Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori

Nel Regolamento (UE) n. 2016/679 il sistema delle sanzioni è disciplinato al Capo VIII, rubricato «Mezzi di ricorso, responsabilità e sanzioni», e strutturato in otto articoli, dall’art. 77 all’art. 84. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo a un’autorità nazionale di controllo, segnatamente nello Stato membro in cui risiede abitualmente o lavora, oppure nel luogo ove si è verificata la presunta violazione. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro. In base al contenuto dell’art. 83, sono previste due tipologie di sanzioni, in rapporto a due precise categorie di violazioni. Tale duplice complesso di sanzioni è connotato da identiche modalità di erogazione, mentre è differente l’ammontare delle sanzioni stesse: ciò perché esse siano adeguate e proporzionate alla gravità del data breach, e - nel contempo - tali da integrare una giusta valenza dissuasiva. Le due tipologie sono dunque connesse a due categorie di violazioni, nella prima delle quali, ex art. 83, par. 4, sono raggruppate le infrazioni ‘‘meno gravi’’, che riguardano: ‘‘a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli artt. 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli artt. 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’art. 41, paragrafo 4’’. Per tali violazioni l’Autorità di controllo può comminare una sanzione amministrativa pecuniaria fino a 10.000.000,00 di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Le Autorità di controllo fissano l’ammontare della sanzione, nei rispettivi limiti prefissati, tenendo conto dei seguenti elementi: ‘‘a) la natura, la gravità e la durata della violazione, in considerazione della natura, dell’oggetto o della finalità del trattamento in questione, nonché´ del numero di interessati lesi dal danno e del livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento. Le sanzioni più severe sono comminate, ex par. 5 del medesimo art. 83, per la violazione delle seguenti disposizioni: ‘‘a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9; b) i diritti degli interessati a norma degli artt. da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale a norma degli artt. da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’articolo 58, par. 2, o il negato accesso in violazione dell’art. 58, paragrafo 1’’. L’art. 166, comma 7, condiziona l’osservanza della L. 689/1981 richiamata, alla sua applicabilità: e qui sorge la vexata quaestio del conflitto/coordinamento tra il procedimento dell’irrogazione delle sanzioni amministrative di cui al Codice della privacy e le norme della richiamata L. 689/1981, che disegna la disciplina dell’illecito amministrativo e del procedimento di irrogazione delle sanzioni in cui non si ammette – almeno espressamente – alcuna deroga.