Privacy&

2020/1

Augusta Iannini

Prime valutazioni sull’applicazione delle sanzioni amministrative pecuniarie nelle procedure di cooperazione

Scarica articolo in PDF

Dall’applicazione del Regolamento (UE) 2016/679 sulla protezione dei dati personali sono passati quasi due anni e possono essere analizzati alcuni effetti prodotti dalle norme più innovative, in particolare quelle relative alla cooperazione tra Autorità di controllo capofila e Autorità di controllo interessate, con specifico riguardo all’applicazione dell’arsenale sanzionatorio contenuto nell’art.83 del regolamento.

In linea generale, il legislatore europeo, nei considerando da 1 a 13, invoca un quadro più solido e coerente in materia di protezione dati,  critica la frammentazione nell’applicazione delle regole nel territorio dell’Unione,  conseguente ai limiti della fonte rappresentata dalla Direttiva 95/46CE, invoca la necessità di un livello coerente di protezione delle persone fisiche in tutta l’Unione  e di limiti alle disparità di trattamento che possono ostacolare la libera circolazione dei dati; obiettivi tutti che possono essere conseguiti solo attraverso un regolamento,  fonte che teoricamente garantisce un’applicazione coerente ed omogenea.

Tuttavia, la facoltà conferita agli Stati membri di intervenire con una legislazione propria in alcuni settori molto delicati non ha contribuito al perseguimento di quella “omogeneità” che sarebbe stata auspicabile, così che gli studiosi dovrebbero dedicare più attenzione alle normative di attuazione degli Stati Membri per verificare quanto esse abbiano rispettato gli obiettivi indicati nel regolamento. Ma, anche prescindendo dalle valutazioni sulla coerenza di alcune delle legislazioni di attuazione, il Regolamento stesso sta evidenziando, nella sua concreta applicazione, una discrezionalità molto ampia da parte delle diverse Autorità.

Mi riferisco, in particolare, alle  regole procedurali stabilite per le controversie transfrontaliere che rappresentano quelle più “appetibili” dal punto di vista della tutela dei dati personali e che evidenziano alcune difficoltà  nei  meccanismi di valutazione della responsabilità dei titolari del trattamento da parte delle Autorità capofila di alcuni S.M.

Una critica ancor più rafforzata dalla considerazione che per questo tipo di controversie - che incidono in modo sostanziale su interessati in più di uno Stato membro - l’Autorità competente  viene  individuata attraverso il luogo di stabilimento indicato dal titolare del trattamento.

Da questa straordinaria opportunità offerta dal legislatore europeo, sono conseguite scelte procedurali particolarmente complesse ai fini dell’applicazione coerente e omogenea delle regole.

L’articolo 60 infatti,  dopo aver ricordato che tra Autorità capofila (quella individuata attraverso il luogo di stabilimento) e Autorità interessate deve esserci cooperazione per arrivare a decisioni condivise,  scambiandosi ogni informazione, prevede, alla fine di questo percorso, la trasmissione da parte della capofila alle altre autorità interessate di un progetto di decisione  per ottenere il loro parere e tenere debitamente conto delle loro indicazioni. Se alcuna o più  Autorità interessate sollevano un’obiezione pertinente e motivata,  l’Autorità capofila, ove non dia seguito all’obiezione o la ritenga non pertinente e non motivata, sottopone la questione al meccanismo di coerenza e in particolare alle procedure previste dall’art. 65 che prevedono una decisione vincolante da parte del Comitato per la protezione dei dati, decisione che però viene pronunziata solo se la questione gli  viene deferita da due terzi dei membri del Comitato,  nel quale -come noto - siedono i rappresentanti delle Autorità Nazionali di protezione degli Stati Membri. Dunque,  l’applicazione coerente e corretta del Regolamento nei singoli casi è subordinata ad un assenso preventivo alla trattazione da adottarsi con maggioranza addirittura qualificata: una valutazione sostanzialmente di “ammissibilità” pur riguardando attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari SM.

Conseguentemente questi percorsi  dovrebbero essere assistiti  da regole di trasparenza così come tutta la procedura  attraverso la quale si perviene ad  un progetto di decisione dell’Autorità capofila  non  condiviso dalle altre Autorità interessate che propongano obiezioni pertinenti e motivate.

Trasparenza che consentirebbe di valutare le modalità investigative e, all’esito dell’istruttoria, le modalità di esercizio della discrezionalità nella proposta della infinita gamma di sanzioni offerte dall’art. 83 del Regolamento.

Dal 25 maggio 2018  il sistema di informazione del mercato interno (IMI) è la piattaforma informatica che garantisce la corretta attuazione del Regolamento generale sulla protezione dei dati, piattaforma correttamente riservata alle Autorità  dei diversi Stati membri. Tuttavia sarebbe auspicabile che i provvedimenti finali contenessero quanto meno la ricostruzione delle diverse fasi procedurali e del loro contenuto, proprio allo scopo di approfondire i criteri con i quali si è esercitata l’ampia discrezionalità nella scelta delle sanzioni.

Allo stato dell’arte l’esame delle proposte che le Autorità capofila hanno inserito nella piattaforma IMI suggeriscono riflessioni che riguardano due aspetti: le modalità istruttorie e la risposta sanzionatoria e, conseguentemente, la diversa configurazione tra Autorità che mantengono un profilo più “consulenziale”  e altre che privilegiano un approccio prescrittivo e punitivo.

Un altro aspetto, ancora tutto da approfondire, è quello relativo ai contenuti delle proposte applicative di  sanzioni quando  lo stabilimento del titolare del trattamento coincida con imprese la cui nazionalità sia  quella dell’Autorità capofila; per questo tipo di valutazione non esistono parametri oggettivi di giudizio  e non si rileva un numero significativo di procedure tali da elaborare  un dato statistico.

A titolo di esempio però ed al solo fine di approfondire la tesi della possibile non omogeneità delle decisioni, si può valutare che, di fronte ad una multinazionale leader nel” bricolage” alla quale si sono contestate le violazioni delle regole relative all’informativa, ai termini di conservazione, ai principi preposti alla sicurezza del trattamento, l’Autorità capofila - che in questo caso è la stessa del luogo di stabilimento del titolare del trattamento - ha proposto l’adozione di alcune misure di garanzia che, se tempestivamente adottate, avrebbero  determinato l’archiviazione della procedura. Una valutazione che ha indotto alcune obiezioni pertinenti e motivate fondate sulla imprescindibilità di provvedimenti prescrittivi e sanzionatori pecuniari.

Analogamente nei confronti di una compagnia aerea privata che ha realizzato una illecita geolocalizzazione dei suoi clienti e di una famosa applicazione musicale che ha violato un account di posta elettronica,  la proposta è stata quella di negare che sussistessero i presupposti per esercitare la vigilanza. Anche in questi due casi sono intervenute obiezioni pertinenti e motivate.

Ed infine,  nei confronti di un importante motore di ricerca raggiunto da un reclamo  circostanziato sui contenuti dell’informativa, priva dell’indicazione della cessione a terzi dei dati degli utenti per fini commerciali, sull’assunto, tecnicamente non condivisibile, dell’anonimizzazione di quei dati, l’Autorità capofila ha suggerito le misure di “compliance” da adottare, archiviando la procedura ma subendo dalle Autorità interessate obiezioni pertinenti e motivate sulla necessità di una risposta sanzionatoria pecuniaria.

Dalla descrizione di questi casi emerge certamente una valutazione positiva  della procedura del meccanismo di coerenza. Proprio con riferimento alle controversie transfrontaliere e comunque a quelle che vedono coinvolti  soggetti interessati di più SM, la procedura ha consentito interventi di verifica,  di controllo e di proposta da parte delle altre Autorità che hanno limitato fortemente la discrezionalità dell’Autorità capofila, senza ricorrere all’intervento del Comitato europeo di protezione dati

Ma questi esempi segnalano anche che esiste  incertezza sul ruolo che devono assumere le Autorità di protezione dati nel momento della valutazione del caso concreto con riferimento alle diverse opzioni sanzionatorie contenute  nell’art. 83 del regolamento, in particolare quelle pecuniarie.

Queste sanzioni, che  si aggiungono  o si “sostituiscono” alle  prescrizioni conseguenti all’esercizio di poteri correttivi di cui le Autorità di protezione dati sono dotate e che consentono di ammonire, di ingiungere l’adozione di comportamenti virtuosi per la tutela dei diritti degli interessati, di indicare in qual modo i trattamenti possano conformarsi alle regole contenute nel regolamento, costituiscono il “ tallone d’Achille” della discrezionalità delle Autorità di protezione dati. È indiscutibile che non solo sussiste discrezionalità sull’entità della sanzione pecuniaria da applicare ma soprattutto sul se applicarla. E proprio gli esempi che ho sopra descritto evidenziano che tutti i parametri indicati nell’art. 83 del Regolamento e nelle linee guida sull’approvazione e previsione delle sanzioni amministrative pecuniarie approvate il 3 ottobre 2017, non hanno garantito un’auspicabile omogeneità nella valutazione sanzionatoria in fase di proposta. È il meccanismo di coerenza che, allo stato, sta riequilibrando un sistema troppo sbilanciato verso una discrezionalità incontrollata. Consentire ad Autorità di protezione dati di accentuare gli aspetti “consulenziali” attraverso l’indicazione di prescrizioni, magari assistite da termini per la loro esecuzione, cui non consegua l’applicazione di sanzioni pecuniarie per le condotte illecite commesse prima dell’intervento delle Autorità, vanifica il principio di “accountability”, attribuendo alle Autorità di protezione dati un ruolo non solo tardivamente regolatorio ma  vanificando, in questa fase, l’effetto deterrente delle sanzioni pecuniarie finalizzate quanto meno  all’auspicabile affermazione  di una cultura della tutela dei dati personali. Mi sembrerebbe quindi opportuno monitorare le decisioni assunte dalle diverse Autorità per verificare quali siano, in concreto, i criteri sui quali si fondano le valutazioni per l’applicazione  o l’esclusione delle sanzioni pecuniarie anche per  sgombrare il campo da sospetti di una giurisprudenza “domestica”.