FTCC | Studio Legale Associato

FTCC

News

pt

Il decreto di adeguamento del Codice Privacy al GDPR (d. lgs. 101/2018), in vigore dal 19 settembre, contiene tra l’altro previsioni per l’applicazione delle cospicue sanzioni amministrative previste dall’art. 83 del Regolamento, commi da 4 a 6.

Il nuovo art. 166 del Codice Privacy specifica le norme alla cui violazione sono ricollegate le varie sanzioni (commi 1 e 2), individua – non sorprendentemente – il Garante come organo competente ad irrogarle e ad adottare i provvedimenti correttivi previsti dall’art. 58 co. 2 GDPR (comma 3), e stabilisce che il procedimento per l’adozione dei provvedimenti e l’irrogazione delle sanzioni può essere avviato a seguito di reclamo dell’interessato, di attività istruttoria svolta d’iniziativa del Garante o in seguito ad accessi, ispezioni e verifiche svolte dallo stesso (comma 4). Le modalità del procedimento verranno determinate dal Garante con proprio provvedimento, nel rispetto dei criteri stabiliti dall’art. 58 co. 4 del Regolamento e garantendo il rispetto di alcuni principi fondamentali in materia sanzionatoria (piena conoscenza degli atti istruttori, contraddittorio, verbalizzazione, distinzione fra funzioni istruttorie e funzioni decisorie: comma 9). Nel frattempo, vengono fissati alcuni principi cardine del procedimento: obbligo di notifica della contestazione (ad eccezione dei casi in cui la notifica risulti incompatibile con la natura e le finalità del provvedimento da adottare: comma 5), 30 giorni di termine a difesa (co. 6), e vengono richiamate le norme fondamentali della legge 689/1981 in materia di illecito amministrativo. Fra le norme richiamate non figura l’art. 16, che prevede la definizione in via breve della contestazione mediante il pagamento di una somma pari al terzo del massimo o – se più favorevole – al doppio del minimo della sanzione edittale: omissione non casuale, dal momento che il GDPR fissa solo il massimo delle sanzioni, e non il minimo. È prevista invece una definizione in via breve … ex post: successivamente all’irrogazione della sanzione, entro il termine di 30 giorni dalla notificazione del relativo provvedimento (60 giorni nel caso di notifica all’estero), il contravventore può definire la controversia adeguandosi alle disposizioni del Garante, e pagando una somma pari alla metà della sanzione in concreto irrogata (comma 8). La metà dell’importo annuo delle sanzioni confluisce purtroppo, nell’apposito fondo stanziato per il funzionamento dell’ufficio del Garante, dove sarà destinata “alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante”: il che non è sufficiente a rasserenare gli animi nei confronti dell’eventualità (che certo non si verificherà, ma che è giustificato temere) di un incremento dell’attività sanzionatoria a fronte di esigenze di funzionamento dell’ufficio.

Infine, va segnalato che il legislatore ha avuto … un occhio di riguardo, anzi due. Il primo occhio di riguardo è di carattere generale: a fronte della richiesta, avanzata da parte imprenditoriale, di sospendere per un anno l’applicazione delle sanzioni, il legislatore ha stabilito che per i primi 8 mesi dalla data di entrata in vigore del decreto il Garante dovrà tener conto “della fase di prima applicazione delle disposizioni sanzionatorie” (art. 22 d. lgs. 101, comma 13): e quindi, auspicabilmente, irrogare sanzioni più lievi. Il secondo occhio di riguardo è nei confronti dell’amministrazione della giustizia: le sanzioni amministrative “non si applicano in relazione ai trattamenti svolti in ambito giudiziario” (art. 166 Cod. Privacy, ultimo comma).

Avv. Paolina Testa


categoria:NewsPrivacy e diritti della personalità