ANCORA POCA CHIAREZZA, E CONSAPEVOLEZZA, SUGLI EFFETTI DEL GDPR
Molte le domande sui rischi relativi al ‘non adempimento’ e forte attenzione,
da parte delle imprese, sul tema dei dati affidati a fornitori cloud esteri.
L’entrata in vigore dell’oramai famoso GDPR e la promulgazione da parte del Legislatore italiano del decreto di recepimento del predetto Regolamento Europeo (il D. Lgs 101/2018) sembrano ancora non aver portato una consapevolezza, o sarebbe più corretto dire una maggiore chiarezza nell’immaginario collettivo in riferimento al trattamento dei dati personali. Con questo articolo vorremmo rispondere, o per lo meno provare a farlo, a quelle che sembrano alcune delle preoccupazioni/curiosità che interessano gli interessati e gli addetti ai lavori. Di seguito vi proponiamo quindi due domande che in questi mesi ci sono state poste e che ci sembrano descrivere lo stato di incertezza nel quale molte aziende si muovono ancora oggi. La prima raccoglie tutte le richieste di chiarimenti sui rischi di ‘non adempimento’, la seconda è relativa alla conservazione in cloud di dati presso fornitori esteri.
Il non adempimento: dalle sanzioni amministrative a quelle penali
Che rischi corro nell’effettuare un trattamento non conforme alla legge italiana e alla normativa europea?
Si parta con il dire che le conseguenze dovute alla violazione delle norme in tema di trattamento di dati personali possono portare a diverse conseguenze. Si parte con delle semplici misure procedurali o tecniche di natura correttiva imposte dai vari organi di controllo competenti (il Garante nel caso italiano), passando per l’applicazione di sanzioni amministrative (molto inasprite con l’avvento del GDPR come si vedrà), fino ad arrivare anche a eventuali sanzioni penali.
Orbene, in quanto alle sanzioni amministrative, l’art. 83 GDPR cita testualmente: “Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento […] siano in ogni singolo caso effettive, proporzionate e dissuasive”.
Al secondo comma lo stesso articolo rappresenta poi tutti i criteri sui quali ci si dovrà basare per stabilire la sanzione applicabile e il suo importo. A titolo esemplificativo si citano la natura, la gravità e la durata del comportamento illecito, ovvero se commesso con colpa o dolo o ancora le misure adottate dal titolare per attenuare il danno ecc.
La grande novità portata dal GDPR è stata quella relativa all’inasprimento delle multe previste, come già preannunciato; per queste sanzioni infatti il legislatore europeo ha previsto un limite massimo pari a 20 milioni di euro oppure fino al 4% del fatturato totale annuo.
Appare necessario specificare come già il vecchio codice privacy (D.Lgs 196/2003) prevedeva delle sanzioni per le violazioni sulla normativa privacy. Con il nuovo regolamento, o per meglio dire con il nuovo decreto, il legislatore italiano ha voluto affiancare alcune nuove sanzioni che vanno ad aggiungersi alle sanzioni amministrative già previste dal Regolamento.
Nello specifico, l’articolo 167 del codice privacy è stato infatti integrato punendo le condotte non solo quando sorrette da una volontà di trarre profitto, ma anche ove sussista una volontà di arrecare un danno ad altri. Altra novità è stata introdotta con l’articolo 167 bis del codice che punisce la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, in violazione di certi requisiti normativi, quali il consenso dell’interessato (ove richiesto).
Questa nuova fattispecie criminosa troverà applicazione solo in un numero molto limitato di casi in quanto il reato si configura solo quando la comunicazione o la diffusione riguardi un ‘archivio automatizzato’ di dati personali (o una sua parte sostanziale) e che i dati contenuti nell’archivio siano oggetto di trattamento su larga scala.
Infatti l’articolo 167-bis sembrerebbe fare esplicito riferimento solo a quei soggetti che trattano dati professionalmente o per obbligo di legge. Comunque in tutti questi casi il fatto è punito con la reclusione da uno a sei anni, ma la pena è diminuita ove per gli stessi fatti venga anche applicata una sanzione amministrativa. Anche l’articolo 167 ter è di nuova introduzione e punisce con la reclusione da uno a quattro anni “chiunque, al fine di trarne profitto ovvero di arrecare danno ad altri, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”.
Dunque, mentre nel precedente articolo si puniva la condotta di chi comunica e diffonde illecitamente i dati personali, qui si punisce la condotta, direttamente correlata, di chi acquisisce illegalmente dati personali.
Sempre legato all’attività svolta dal Garante è inoltre da tener presente l’articolo 170 che punisce con la reclusione da tre mesi a due anni chiunque non osservi i provvedimenti emessi dal Garante, e infine il decreto conclude confermando all’art. 171 i reati già previsti dal previgente Codice per le violazioni delle norme dello Statuto dei lavoratori in materia di controlli a distanza dei lavoratori e indagini sulle loro opinioni politiche, religiose o sindacali.
Lo spostamento dei dati in altri Paesi
Siamo la filiale italiana di una multinazionale, la nostra casa madre ha in progetto di raccogliere in uno spazio cloud tutti i dati dei dipendenti, anche delle filiali locali, presso un fornitore di servizi cloud a livello globale. Non è chiaro però in quale Paese questo fornitore terrà memorizzati questi dati e se nel tempo questa situazione potrà cambiare per via dello spostamento di questi dati anche in strutture di altri Paesi. Come ci dobbiamo comportare?
Al tema del trasferimento di dati personali verso Paesi terzi e organizzazioni internazionali è dedicato l’intero capo V del GDPR. Di base i trasferimenti al di fuori dello Spazio Economico Europeo (SEE) sono generalmente vietati, a meno che non intervengano alcune specifiche garanzie.
Proprio di questo si occupa nello specifico l’articolo 44 GDPR. Qui infatti si dice che in questi casi il trasferimento è ammesso se la Commissione ha deciso che il Paese terzo, un territorio o uno o più settori specifici all’interno del Paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato.
Questa non è una novità introdotta dal GDPR in quanto tale concetto era già stato previsto e ampiamente discusso dalla Direttiva 95/46/CE all’articolo 25. In deroga al divieto di trasferimento, si aggiunge come questo sia consentito anche nei casi menzionati dall´articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).
Le decisioni di adeguatezza emanate dalla Commissione europea sono strumenti vincolanti per i Paesi dell’Unione, e in base a esse è ammesso il trasferimento di dati verso il Paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il Paese terzo non soddisfa più i criteri necessari.
Ulteriore novità è stata invece introdotta dall’art. 46 del GDPR che prevede, per l’appunto, un’ulteriore possibilità di trasferimento dei dati personali verso Paesi che non garantiscono un adeguato livello di protezione.
Il titolare del trattamento di un’azienda che ha la propria base nel territorio europeo, infatti, può stipulare un contratto con il titolare dell’azienda che si trova nel Paese terzo, le cui clausole sono tali da offrire un livello di protezione adeguato per il trattamento dei dati. In particolare, si richiede un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi.
Sia la Commissione Europea che le autorità di controllo nazionali possono adottare clausole tipo (clausole contrattuali standard o standard contractual clauses o SCCs,), valide ai sensi dell’art. 46.
L’art. 47 prevede uno specifico strumento per il trasferimento dei dati personali dal territorio dello Stato tra società facenti parti dello stesso gruppo d’impresa, laddove una di queste sia al di fuori dell’Unione Europea. Le binding corporate rules (BCR) si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate).
Il trasferimento è consentito solo tra aziende che abbiano uno specifico legame societario. Anche in questo caso le clausole devono essere sottoposte alle autorità di controllo, ma è possibile elaborare clausole sulla base di quelle già esistenti e sulle quali già si siano pronunciati i garanti, in modo da avere sufficiente certezza che siano accolte.
Per comprendere meglio si prenda l’attualissimo caso ‘Brexit’. Come ci si dovrà comportare con la Gran Bretagna nel momento in cui questa uscirà dall’UE? Ebbene, il garante italiano stesso ha detto in un suo recentissimo avviso che il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti: clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d’impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.
Coautore dell’articolo:
Andrea Petrozzi
Dottore in Giurisprudenza