martedì, Aprile 23, 2024
Uncategorized

Il caso Eni gas e luce: l’intervento del Garante Privacy e la sanzione ai sensi del GDPR

  1. La vicenda

Il caso ha ad oggetto la conclusione di contratti da parte di Eni gas e luce S.p.A. (ENI) per la fornitura di energia elettrica e gas. La particolarità di tale vicenda riguarda il mancato consenso alla conclusione dei contratti da parte degli utenti, i quali sono venuti a conoscenza di questi contratti una volta ricevuta la “lettera di chiusura pervenuta da parte del precedente fornitore o di recapito delle prime fatture da parte di Eni, asserendo di non avuto alcun contatto né personale né a distanza con la predetta società, né di essersi mai recati presso alcun punto vendita o agenzia della stessa”.[1] Inoltre, è stato riscontrato dai soggetti vittime di questa pratica l’inesattezza di alcuni loro dati personali come ad esempio il numero della carta di identità o il numero di telefono, ma ciò che più ha destato preoccupazione è stata la sottoscrizione apocrifa del contratto in questione.[2] Vista la gravità di tale vicenda l’Autorità Garante per la protezione dei dati personali è stata chiamata in prima linea ad indagare in seguito ai reclami presentati dai soggetti coinvolti. Infatti, con un atto del 19 agosto 2019[3] il Garante Privacy ha avviato, in base all’ art. 166 c. 5 D. Lgs. 196/2003 un procedimento per l’adozione di provvedimenti ex art. 58 par. 2 Reg. UE 2016/679 nei confronti di ENI.[4] Il primo passo è stato riunire tutti i reclami per procedere, in maniera organica, al chiarimento della vicenda attraverso l’attività istruttoria e con gli accertamenti ispettivi presso la sede ENI.[5]

I dati e le informazioni raccolte dall’attività del Garante hanno mostrato elementi fortemente critici riguardo il trattamento dei dati. Sono, dunque, emerse le telefonate effettuate senza il consenso del soggetto contattato o nonostante il rifiuto di quest’ultimo “a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni”. Tale pratica scorretta è legata anche all’assenza di “misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti”.[6] Il telemarketing e il teleselling messo in atto da Eni Gas e Luce o da Agenzie ad essa collegata ha portato alla luce un vero e proprio ‘mercato’ in quanto le liste contenenti i numeri di telefonia fissa o mobile possono essere acquistate dai c.d. list provider.[7] Tuttavia, è emersa l’assenza del presupposto di liceità, previsto dall’art. 6 GDPR e dagli articoli 2 ter e 15 D. Lgs. 101/2018[8]

  1. L’analisi del caso sotto l’aspetto legale

La vicenda, sotto l’aspetto legale, deve essere analizzata prendendo in considerazione quanto previsto dal Reg. UE 2016/679 e dal D. Lgs. 101/2018 dei quali è stata lamentata la violazione. In particolare, il riferimento è agli articoli 6 e 7 del GDPR che sono alla base di questa trattazione poiché incentrati il primo sulla liceità del trattamento, il secondo sulle condizioni per il consenso. Emerge, quindi, la liceità del trattamento esclusivamente nel caso in cui ricorrano le condizioni previste dall’art. 6 GDPR ovvero deve sussistere l’espressione del consenso da parte del soggetto interessato dal trattamento dei propri dati personali.[9] Questo articolo richiama la disposizione dell’art. 7 della abrogata direttiva 95/46/CE che era posto all’inizio della sezione avente ad oggetto i “Principi relativi alla legittimazione al trattamento dati”. Il Codice Privacy del 2003 presenta, invece, una struttura diversa in quanto “ha declinato i vari presupposti di legittimità del trattamento di cui all’art. 7 della direttiva, distinguendoli in ragione della natura soggettiva del titolare”.[10] Nella precedente normativa del 2003 il presupposto necessario per poter parlare di legittimità del trattamento dei dati da parte di privati emergeva dal consenso del soggetto interessato.[11] L’art. 6 GDPR è rubricato “Liceità del trattamento” e il legislatore comunitario ha voluto indicare espressamente i casi nei quali, per considerare lecito un trattamento, debbano ricorrere determinate e specifiche condizioni dettate nel testo dell’articolo. In riferimento alla lettera b) dell’articolo in commento si evince come il trattamento sia ritenuto lecito in virtù “dell’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”. Questa specificazione, contenuta nell’articolo in commento, evidenzia la necessità del trattamento dei dati riferiti o riferibili ad un soggetto esclusivamente ai fini di un contratto di cui il soggetto interessato è parte e deve essere inteso come presupposto di legittimità del trattamento. È il presupposto che, insieme al consenso, rappresenta quanto regolamentato dall’art. 6 “in cui il trattamento si fonda su di una manifestazione di volontà dell’interessato”.[12] Di conseguenza, la violazione della disposizione regolamentare dell’art. 6 integra la fattispecie di illecito amministrativo ex art. 83 par. 5 lett. a) (più avanti trattata). In riferimento, invece, all’art. 7 GDPR rubricato “Condizioni per il consenso” è previsto, espressamente, al paragrafo 1 che “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Di fatto il legislatore comunitario ha previsto la disciplina dei requisiti in base ai quali il consenso si può ritenere validamente prestato. Come si evince dalla lettura del Reg. UE 2016/679 è, in primis, la disposizione dell’art. 4 paragrafo 1 n. 11 a fornire la definizione generale di consenso dell’interessato inteso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.[13] Già la Convenzione n. 108 del 1981 garantiva la “tutela rispetto ad eventuali abusi che possono derivare dal trattamento”[14] e specificava il principio di consenso informato individuando, di conseguenza, “i principi cardine di correttezza e liceità posti a presidio della raccolta e del trattamento automatizzato dei dati”.[15]

Tornando al recente Regolamento del 2016, in mancanza di una forma di consenso validamente prestato dal soggetto interessato, si sarà innanzi ad una fattispecie di illecito amministrativo con la conseguenza dell’irrogazione di sanzioni pecuniarie. Approfondendo il tema si può affermare che “il consenso al trattamento differisce sotto molti aspetti dall’omonimo istituto civilistico del consenso contrattuale, essendo alieno da considerazioni di tipo sinallagmatico, poggiando su un più intenso richiamo alla consapevolezza del soggetto che lo esprime essendo sempre liberamente revocabile”.[16] Nel testi antecedenti il Reg. UE 2016/679, in particolar modo nel D. Lgs. 196/2003, il concetto di ‘consenso’ “aveva un ruolo strutturale decisivo”, infatti la disciplina contenuta nel Codice del 2003 “può essere definita ‘consenso-centrica’”.[17] Essendo il consenso un atto unilaterale esso dovrà presentare dei requisiti fondamentali, riconosciuti nel GDPR, ovvero essere libero, specifico, inequivocabile, espresso ed esplicito.[18] Sulla base della disposizione del considerando n. 32 viene specificato che “l’interessato manifesta l’intenzione […] di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”. In riferimento al D. Lgs. 10 agosto 2018 n. 101 si deve prendere in considerazione l’art. 2 ter[19] che individua le circostanze entro le quali è possibile richiamare “le basi giuridiche previste dalle lett. c) ed e) dell’art. 6.1 GDPR”.[20] La struttura dell’art. 2 ter è stata suddivisa in quattro commi:

  • comma 1 “precisa la nozione di diritto nazionale presupposto, limitandola alle sole norme di legge o di regolamento, queste ultime tuttavia nei soli casi previsti dalla legge”;
  • comma 2 riprende quanto già considerato nel comma 1. È poi prevista una deroga che riprende l’art. 6 par. 3 GDPR
  • comma 3 è definito da E. Pelino “pleonastico” poiché il suo contenuto è già considerato, a livello concettuale, dal comma 1
  • comma 4 richiama le definizioni di “comunicazione” e “diffusione” dei dati personali.
  1. Le sanzioni comminate dal Garante Privacy attraverso i provvedimenti n. 231 e n. 232 del 19 dicembre 2019

Quando si è iniziato a parlare del Regolamento UE 2016/679 e ad analizzarlo in tutte le sue parti è emerso subito, dalle prime analisi, che la parte ‘innovativa’ rispetto alla previgente disciplina[21] fosse quella relativa alle sanzioni in caso di violazione delle disposizioni relative alla protezione dei dati personali. La direttiva 95/46/CE “aveva affidato a ciascun Stato membro il compito di adottare le misure appropriate per garantire la piena applicazione e stabilire le sanzioni da applicare in caso di violazione delle relative disposizioni”, mentre la L. 675/1996 aveva previsto un regime sanzionatorio definito di tipo misto perché caratterizzato da sanzioni riguardanti l’ambito civilistico, amministrativo e penale.[22] Con l’introduzione del Codice Privacy del 2003, il legislatore aveva introdotto altre modifiche rispetto alla legge del 1996 che però non hanno avuto particolare forza, ma hanno rappresentato solo “dei necessari aggiustamenti”.[23] Quando il legislatore comunitario ha sentito la necessità di introdurre un nuovo testo normativo per adeguare la materia ha previsto, espressamente, all’art. 83 GDPR rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie” la disciplina riguardante le sanzioni.[24] Rispetto al nostro Codice Privacy del 2003, il legislatore europeo non ha previsto “fattispecie specifiche con condotte tipiche la violazione delle quali prevede una sanzione amministrativa con una pena edittale minima e una massima”.[25] Rispetto alla disciplina nazionale, il nuovo Reg. UE 2016/679 presenta un contenuto generico, di fatti il contenuto dell’art. 83 fa riferimento alle sanzioni di tipo amministrativo irrogate in caso di violazione della normativa comunitaria in commento. In seguito alle violazioni lamentate dai consumatori nei confronti Eni Gas e Luce, il Garante per la protezione dei dati personali è intervenuto ritenendo rilevante “l’ampia portata dei trattamenti e l’elevato numero dei potenziali interessati coinvolti (art. 83 par. 2 lett. a) del Regolamento) nel complesso delle attività di telemarketing e teleselling di contestazione”.[26]

La violazione di cui si è resa protagonista Eni Gas e Luce “in ragione della particolare pervasività dei contatti illeciti nell’ambito dell’attività di telemarketing e teleselling […], delle crescenti difficoltà che gli interessati incontrano per arginare tale fenomeno, della molteplicità delle condotte poste in essere da EGL in violazione di più disposizioni del Regolamento e del Codice”[27], ha mostrato la gravità della vicenda la cui durata è stata ritenuta estremamente ampia con estrema certezza dall’entrata in vigore del Reg. UE 2016/679 fino alla conclusione dell’istruttoria preliminare da parte del Garante. Durante le ispezioni del Garante è stato rilevato “il carattere significativamente negligente del trattamento”[28] e di conseguenza la violazione della disposizione dell’art. 83 par. 2 lett. b) GDPR vista la mancanza da parte di Eni Gas e Luce della “adozione di sistemi di controllo dei consensi e dei telesellers che, per impostazione predefinita avrebbero dovuto garantire la corretta gestione degli stessi”.[29] In seguito alle ispezioni da parte del Garante e alle indagini condotta è stata dichiarata l’illiceità dei trattamenti dei dati degli utenti da parte di Eni Gas e Luce ed è stato previsto, ex art. 58 par. 2 lett. d) GDPR, l’obbligo per la società in questione di adempiere a tutti gli adeguamenti del caso nel rispetto della vigente normativa oltre ad aver previsto il “divieto di trattamento dei dati personali presenti in liste di contattabilità che la Società ha acquistato […] da altri list provider […] senza che i predetti list provider si siano dotati di un consenso specifico alla comunicazione dei dati medesimi”.[30] Per queste violazioni riconosciute dal Garante è stata comminata una sanzione pari a 8,5 milioni di euro ai sensi dell’art. 166 c.8 del Codice.[31] L’entità di questa sanzione è dovuta a quanto previsto dall’art. 83 paragrafi 2 e 4 GDPR.[32] Una delle novità previste in questa disposizione “consiste nel fatto che le sanzioni amministrative possono essere applicate anche ad altri soggetti che non siano titolari del trattamento”.[33] In un altro provvedimento (n. 231 del 11 dicembre 2019), inerente sempre alla medesima vicenda, il Garante, al termine dell’attività istruttoria, ex art. 58 Reg. UE 2016/679, e una volta rilevata “l’illiceità del trattamento con riferimento a quanto accertato al punto 3, ingiunge ad ENI di adottare le misure correttive per conformarsi al succitato Regolamento come individuate al punto 4 della presente decisione ed impone contestualmente il divieto di ogni ulteriore trattamento dei dati personali concernenti i 7200 clienti come individuati al punto 3 del presente provvedimento”.[34]

È stata, quindi, prevista la sanzione amministrativa pecuniaria del valore di 3.000.000 di euro in conformità a quanto previsto dall’art. 83, paragrafo 5 lett. a) del Regolamento 2016/679.[35] Inoltre è stato imposto ad Eni Gas e Luce di conformarsi, entro il termine di sei mesi, alle prescrizioni del Garante adottando misure correttive (si veda il punto 4 del provvedimento n.231 del Garante) oltre ad aver previsto limitazioni definitive nei confronti di Eni Gas e Luce relative al trattamento dei dai personali riguardanti i 7200 soggetti che hanno presentato reclamo al Garante, imponendo alla società l’obbligo di comunicazione delle misure messe in atto per adeguarsi e conformarsi alla normativa vigente.[36] Di fatto, anche in caso di inosservanza delle misure e degli ordini provenienti dall’Autorità garante per la protezione dei dati personali possono essere previste sanzioni di tipo amministrativo e di carattere pecuniario fino a 20 milioni di euro o per le imprese fino al 4% del fatturato annuo. [37]

Conclusioni

La vicenda fin qui presa in considerazione è la dimostrazione di come l’operato dell’Autorità garante per la protezione dei dati personali, in seguito all’introduzione del Regolamento UE 2016/679, sia cambiata attraverso controlli e ispezioni capillari volti a garantire agli utenti la correttezza del trattamento dei loro dati personali e sensibili. La multa comminata ad Eni Gas e Luce è la più elevata da quando ha avuto applicazione il GDPR e il D. Lgs. 101/2018. Gli oltre 7000 casi di fronte ai quali si è trovato ad agire il Garante Privacy evidenziano la necessità di una regolamentazione del fenomeno del telemarketing e teleselling in ottemperanza alle disposizioni comunitarie del Regolamento. La società ha annunciato ricorso contro le decisioni messe in campo dall’Autorità garante per la protezione dei dati. Tuttavia, in attesa della chiusura definitiva della vicenda, è emerso che le disposizioni del GDPR in molti casi faticano ancora a trovare un reale accoglimento, nonostante gli sforzi del legislatore del Garante Privacy.

[1] Provvedimento del Garante Privacy n. 231 dell’11 dicembre 2019, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351

[2] Si tratta di una sottoscrizione con firma falsa, ovvero non riconducibile al soggetto interessato perché non apposta dallo stesso e quindi non riconosciuta.

[3] Provvedimento del Garante Privacy n. 232 dell’11 dicembre 2019, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244365

[4]L ’art. 58 Reg. UE 2016/679 è rubricato “Poteri” in riferimento ai poteri di cui dispongono le Autorità Garanti dei singoli stati membri. Questa disposizione individua i poteri che “le autorità di controllo devono disporre per adempiere i compiti e le funzioni indicati all’art. 57, nonché per svolgere tutta una serie di adempimenti connessi soprattutto al controllo dei flussi di dati verso Paesi terzi e organismi internazionali di cui al capo V del RPDP e alle attività di autoregolamentazione dei trattamenti attraverso codici di condotta e meccanismi di certificazione”, in A. Caselli, Commento sub art. 58 Reg. UE 2016/679, in GDPR e Normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 487 ss.

[5] Tali irregolarità hanno colpito all’incirca 7200 consumatori. Certamente un numero elevato che ha portato il Garante a richiedere ad ENI l’introduzione di misure correttive per arginare le violazioni.

Si veda F. Meta, Gdpr, multa record a Eni Gas e Luce: “Trattamento illecito dei dati”, in Corriere Comunicaizoni, 17 gennaio 2020, qui disponibile: https://www.corrierecomunicazioni.it/privacy/gdpr-multa-record-a-eni-gas-e-luce-trattamento-illecito-dei-dati/?utm_campaign=corcom-daily_nl_20200117&utm_source=corcom-daily_nl_20200117&utm_medium=email&sfdcid=*|SFDCID|*

[6] Garante Privacy , Il Garante privacy sanziona Eni Gas e Luce per 11,5 milioni. Telemarketing indesiderato e attivazione di contratti non richiesti, 17 gennaio 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351

[7] I numeri di telefonia fissa e mobile (considerati dati personali) possono essere utilizzati per 15 giorni i primi, mentre per 45 giorni i secondi. Questi dati personali come evidenziato dal Garante nel provvedimento n. 232 dell’11 dicembre 2019, “non sono oggetto di controlli, nemmeno a campione, idonei a comprovare il rispetto, in fase di raccolta, delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso, e alle verifiche sul Registro pubblico delle opposizioni […]”. Eni Gas e Luce ha affermato come il controllo su questi dati spetti ai c.d. list provider, ma la società effettua esclusivamente un controllo sul numero di contrati che viene stipulato dalle Agenzie. Provvedimento del Garante Privacy n. 232 dell’11 dicembre 2019, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244365

[8] Quindi, come risulta dal provvedimento del Garante, “è emerso che dal database CRM della Società in consenso ‘per iniziative promozionali proprie’ associato alle anagrafiche dei segnalanti che lamentavano la ricezione di telefonate indesiderate, risultava ‘non concesso’ e che pertanto i contratti promozionali nell’interesse di EGL erano stati effettuati in assenza del necessario presupposto di liceità”. L’art. 2 ter D. lgs.101/2018 è rubricato “Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” è posto nel capo II relativo alle modifiche alla Parte I del D. Lgs. 196/2003. L’art. 15 D. Lgs. 101/2018 è rubricato “Modifiche alle parte III, Titolo III, del Decreto legislativo 30 giugno 2003, n. 196”, in quest’ultimo caso il riferimento è al comma 2 e comma 10 lett. b)- c).

[9] Art. 6 par. 1 lett. a) Reg. UE 2016/679: “il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.

[10] F. Resta, commento sub art. 6 Reg. UE 2016/679, in GDPR e normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 67.

[11] È fatta salva la presenza di esimenti “in presenza di circostanze previste dall’art. 24 c. 1, sostanzialmente coincidente con quelle di cui all’art. 6 del GDPR, quali appunto, tra le altre la necessità del trattamento per: l’adempimento di un obbligo legale, l’esecuzione di obblighi contrattuali o precontrattuali, la salvaguardia della vita o dell’incolumità fisica di terzi, il legittimo interesse del titolare o di terzi, nei casi individuati dal Garante”, in F. Resta, op. cit., p. 67.

[12] F. Resta, op. cit., p. 69. Si veda anche G. Cristofari, F. Sartore, commento sub art. 6 GDPR, in Codice della Disciplina Privacy, diretto da L. Bolognini, E. Pelino, Giuffrè, 2019, p. 90 ss.

[13] Il riferimento è anche il considerando n. 32 laddove vengono evidenziate anche alcune modalità in base alle quali, sui siti web, si può esprimere il consenso.

[14] F. Guerrieri, commento sub art. 4 GDPR, in GDPR e Normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA, Wolters Kluwer, 2018, p. 35 ss.

[15] F. Guerrieri, op. cit.

[16] E. Pelino, commento sub art. 7 GDPR, in Codice della Disciplina Privacy, diretto da L. Bolognini, E. Pelino, Giuffrè, 2019, p. 58 ss.

[17] E. Pelino, op. cit. “[…] nel senso che le altre basi giuridiche del trattamento erano considerate clausole di ‘esonero del consenso’, che restava il principale riferimento sul quale costruire un valido trattamento”.

[18] Sulla base della attuale normativa il consenso si ritiene informato quando è preceduto da una valida informativa come già la direttiva 95/46/CE e il Codice privacy del 2003 prevedevano. Sulla base del considerando n. 42 viene precisato che “il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento […]”.

[19] È stato inserito dall’art. 2 c. 1 lett. f) D. Lgs. 101/2018. La violazione della disposizione su citata è espressamente regolamentata all’art. 166 c. 2 del Codice Privacy che, in seguito alla revisione del 2018, “applica la fascia editale più severa, quella dell’art. 83, par. 5 GDPR”. Si veda E. Pelino, Commento sub art. 2 ter Codice Privacy, in Codice della Disciplina Privacy, diretto da L. Bolognini E. Pelino, Giuffrè 2019, p. 98 ss.

[20] E. Pelino, op. cit.

[21] Si veda S. Aterno, commento sub art. 83 GDPR, in Commentario GDPR e Normativa privacy, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 607 ss.

[22] Erano previste le sanzioni penali in caso di omessa o infedele notificazione, di violazione del trattamento dei dati personali o in caso di omessa adozione di misure per la sicurezza dei dati o in caso di inosservanza dei provvedimenti del Garante. Venivano previste le sanzioni di tipo amministrativo in caso di omessa risposta alle richieste del Garante o in caso di omessa informativa.

[23] S. Aterno, op. cit.

[24] Di fatto il Capo VII nel quale è contenuto l’art. 83 è rubricato “Mezzi di ricorso, responsabilità e sanzioni”.

[25] S. Aterno, op. cit. Il D. Lgs. 196/2003, successivamente alla modifica intervenuta con il D. Lgs. 101/2018 di adeguamento ha previsto l’abrogazione di quanto regolamentato agli artt. 161 e ss.

[26] Garante Privacy, Provvedimento 11 dicembre 2019, n. 232,

qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244365

[27] Garante Privacy, provved. ult cit.

[28] Garante Privacy, Provvedimento 11 dicembre 2019, n. 232.

[29] Garante Privacy, provved. ult. cit.

[30] Garante Privacy, Provved. ult. cit.

[31] L’art. 166 del Codice Privacy del 2003 è stato revisionato dall’art. 15 c.1 lett. a) del D. Lgs. 101/2018 ed è rubricato “criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori”. In questo articolo è previsto al comma 3 che il Garante è “l’organo competente ad adottare i provvedimenti correttivi di cui all’articolo 58, paragrafo 2, del Regolamento, nonché ad irrogare le sanzioni di cui all’articolo 83 delmedesimo Regolamento e di cui ai commi 1 e 2”. Come afferma E. Pelino, l’art. 166 del Codice Privacy successivo alla riforma del 2018, “condensa in sé tutte le previsioni rilevanti in materia di protezione dei dati e sanzioni amministrative pecuniarie- e loro modalità di applicazione- a livello nazionale”, in E. Pelino, commento sub art. 166 Codice Privacy, in Codice della disciplina privacy, Giuffrè, 2019, p. 455.

[32] Il paragrafo 4 in conformità a quanto previsto dal paragrafo 2 prevede che “la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42, 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41 paragrafo 4”. Il paragrafo 5 prevede che nel caso in cui la violazione può essere soggetta a sanzioni che possono raggiungere i 20 milioni di euro o “fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”. Si veda S. Aterno, op. cit., p. 610-611.

[33] L. Bolognini, commento sub art. 83 GDPR e 166 D. Lgs. 196/2003, in Codice della disciplina privacy, Giuffrè, 2019, p. 454.

[34] Garante Privacy, Provvedimento 11 dicembre 2019, n. 231. Qui disponibile:  https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244358

[35] Evidenzia L. Bolognini che “sono soggette alla sanzione amministrativa di cui all’art. 83 par. 5 GDPR- fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore- le violazioni delle disposizioni di cui agli artt. 2-ter cod. privacy (in materia di sussistenza della base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) […]”, in L. Bolognini, commento sub art. 83 GDPR, in Codice della disciplina privacy, diretto da L. Bologni, E. Pelino, Giuffrè, 2019, p 456.

[36] Garante Privacy, provvedimento n.231 11 dicembre 2019

[37] Si veda l’art. 83 paragrafo n. 6 GDPR “In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Giulia Cavallari

Nata a Bologna nel 1992. Dopo aver conseguito la maturità classica prosegue gli studi presso l'Università di Bologna iscrivendosi alla Facoltà di Giurisprudenza. Laureata con una tesi in Diritto di Internet dal titolo "Il Regolamento generale sulla protezione dei dati e il consenso dei minori al trattamento dei dati personali" sotto la guida della Professoressa Finocchiaro. Nel novembre 2017 ha relazionato all'Internet Governance Forum- IGF Youth. E' in questo periodo che si avvicina e appassiona al diritto di internet e all'informatica giuridica sentendo la necessità di approfondire gli studi in materia.  Gli interessi principali spaziano dalla protezione dei dati personali alla cybersecurity e all'ambito delle nuove tecnologie al ruolo che il diritto di internet ha assunto e assumerà nei prossimi anni.

Lascia un commento