I MERCOLEDÌ DELLA PRIVACY: Le sanzioni per l’amministratore e il condominio

La sanzione per l'illecito trattamento dei dati, secondo il Regolamento UE 679/2016, viene emessa nei confronti del titolare del trattamento che, in ambito condominiale è il medesimo Condominio, il quale potrà a sua volta, rivalersi sul legale rappresentante amministratore. Potrà essere emessa anche direttamente nei confronti dell'amministratore laddove questi contravvenga all'art. 29 GDPR, il quale detta delle regole specifiche in capo al responsabile del trattamento dati.

L'Organo che emette la sanzione è sempre il garante nazionale, il quale analizza il verbale redatto dal Nucleo Speciale Privacy della Guardia di Finanza e, sulla base di questo, infligge l'importo della sanzione amministrativa.
Il GDPR prevede che una sanzione debba essere effettiva, proporzionata e dissuasiva.
Gli importi da imputare a titolo sanzionatorio devono essere calcolati dopo aver valutato l'illecito, sulla base di ben 11 parametri diversi. Questo comporta che la valutazione può diventare personalizzata e può portare a situazioni assai diverse a seconda dei criteri che vengono utilizzati, sia all'interno della stessa giurisdizione nazionale e sia in relazione ai parametri utilizzati dalle varie autorità garanti europee.

I parametri
Delle indicazioni ce le fornisce l'art- 83 GDPR che elenca 11 parametri previsti dalla norma, che sono:
“a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.”

Negli altri Paesi Ue
Come si comprende leggendoli, non vi è indicato quanto ciascun parametro possa incidere in relazione alla determinazione della sanzione da applicare. Ecco il motivo per cui in alcuni paesi si stanno cominciando a tracciare delle linee guida, che possono aiutare le autorità Garanti a stabilire il peso da dare agli 11 parametri, giungendo infine alla determinazione della sanzione applicabile.
Così, l'autorità Garante federale, che coordina l'attività delle autorità garanti dei singoli Stati (Laender) della Germania, si è mossa in questa direzione, mettendo a punto un modello di valutazione dell'entità delle sanzioni, che dovrebbe essere utilizzato dalle singole autorità Garanti dei singoli Stati.

Il calcolo
La valutazione in questione parte dall'esame del bilancio annuale del soggetto coinvolto, riportato su base quotidiana.
Questa somma viene moltiplicata per dei fattori numerici, che sono appunto calcolati in base al comma 2 dell'articolo 83 del regolamento.
È evidente che un tale approccio può destare stupore, soprattutto in paesi, come il nostro, in cui il concetto di sanzione correlata al fatturato annuo era completamente sconosciuto.
Oltre a questo primo parametro valutativo, in Germania si da un punteggio anche analizzando la singola violazione in esame, seguendo i coefficienti forniti da ulteriori parametri quali:
•durata nel tempo della violazione,
•natura, estensione e finalità di questo trattamento illecito,
•numero di interessati coinvolti nel trattamento violato,
•valutazione del danno subito dagli interessati coinvolti.
Infine, l'autorità Garante andrà ad effettuare una valutazione globale della situazione per stabilire se vi sono elementi per un aggravamento della sanzione sin qui calcolata.
Il metodo di calcolo studiato, prevalentemente lineare, che parte dal fatturato annuo, può portare a somme assolutamente straordinarie.

A questo punto occorrerà monitorare sia se il Garante nazionale recepirà questo schema e sia se, in caso di contestazione da parte del titolare coinvolto, la magistratura giudicante lo riterrà applicabile.
Un dato è certo. Ad oggi le sanzioni sono emesse effettuando una valutazione più discrezionale e, quindi, possono essere contestate in sede di impugnazione, ma laddove si dovessero applicare le tabelle di stampo matematico la possibilità di azione sul quantum nell'impugnativa si ridurrebbero di gran lunga e, pertanto, aumenterebbe il rischio di subire sanzioni di rilevanza stratosferica, anche per un normale amministratore professionista.
Nel mentre, non ci resta che aspettare e seguire la normativa europea in modo di evitare all'origine ogni rischio di sanzione.