Condividi su

Normative: Privacy

08/07/2011
PRIVACY - Il sistema sanzionatorio

A cura del Dottore Juri Torreggiani consulente privacy

A seguito dei numerosi quesiti pervenuti, evidenziamo di seguito gli aspetti fondamentali del sistema sanzionatorio introdotto prima d’ora dal D.L. 207/2008, convertito dalla L. 14/2009, per violazioni compiute all’interno delle aziende in riferimento alla  “Legge Privacy” (D. Lgs. 196/2003).

Inasprimento delle sanzioni
Il legislatore, constatata la necessità di fornire agli Organi di Controllo strumenti più efficaci nel contrasto alle violazioni in materia di Privacy, ha notevolmente inasprito le sanzioni pecuniarie applicabili, aumentando significativamente, rispetto al passato, sia l’entità degli importi minimi che degli importi massimi.

Nuove ipotesi sanzionatorie
Il D.L. 207/2008 ha inoltre previsto nuove ipotesi sanzionatorie. Ad esempio, per eventuali omissioni delle “misure minime di sicurezza” previste dal legislatore per l’idonea protezione dei dati dei soggetti terzi (es. dipendenti, clienti, fornitori, ecc.) detenuti dalle aziende, sono state introdotte ingenti sanzioni pecuniarie, che vanno ad affiancarsi alle sanzioni penali già previste dalla precedente disciplina.
Si ricorda che le misure minime di sicurezza, fra i numerosi obblighi, prevedono:
• l’introduzione degli adempimenti imposti dal recente Provvedimento sugli Amministratori di Sistema (entrato in vigore il 15/12/2009), che in estrema sintesi, richiede la conservazione per mesi 6 delle attività (così detti “logs”) compiute a livello informatico da coloro che rivestono il ruolo di Amministratori dei sistemi informatici aziendali;
• l’utilizzo da parte di tutti gli utenti aziendali di un codice utente (user name) personale per l’accesso ai Pc che identifichi inequivocabilmente il singolo soggetto;
• l’utilizzo di una parola chiave (password) riservata, conosciuta esclusivamente dall’utilizzatore della  parola chiave medesima;
• l’adozione di idonei criteri per la creazione della parola chiave di cui sopra, la quale dovrà essere composta da almeno 8 caratteri, non dovrà contenere riferimenti riconducibili all’utente e dovrà essere cambiata periodicamente;
• l’installazione di idonei programmi anti-virus da aggiornarsi periodicamente;
• l’effettuazione dei salvataggi di tutti i dati di rilevanza aziendale, con frequenza almeno settimanale, ecc.  

Scala di gradazione delle sanzioni
Per garantire una migliore efficacia ed un maggiore effetto di deterrenza delle sanzioni, è stata altresì introdotta una scala di gradazione delle pene pecuniarie, che permette in taluni casi di aumentare gli importi in base alla gravità del fatto ed alle condizioni economiche del contravventore.
In particolare, si evidenzia che:
• per le violazioni di particolare gravità, si applica la sanzione amministrativa con il pagamento di una somma da cinquantamila a trecentomila euro;
• per le violazioni che arrecano pregiudizio ai terzi (dipendenti, clienti, fornitori, ecc.), i limiti minimo e massimo delle sanzioni possono essere raddoppiati;
• le sanzioni possono essere aumentate fino al quadruplo quando risultano inefficaci in rapporto alla condizioni economiche del contravventore.

Le violazioni più frequenti
A titolo esemplificativo si evidenziano, di seguito, le violazioni che più frequentemente si riscontrano all’interno delle aziende e le relative sanzioni-base di natura amministrativa:

Le principali sanzioni pecuniarie per violazioni in tema di “Legge Privacy”
Fattispecie    Sanzioni precedenti    Sanzioni attuali
Omessa o inidonea
informativa (In tutti i casi)    Da € 3.000 a € 18.000    Da € 6.000 a € 36.000
Omessa o inidonea
informativa (In presenza di dati
sensibili o giudiziari o casistiche
di notevole rilievo)    Da € 5.000 a € 30.000    Da € 6.000 a € 36.000
Cessione di dati    Da € 5.000 a € 30.000    Da € 10.000 a € 60.000
Omissione misure
minime di sicurezza    Non prevista    Da € 10.000 a € 120.000
Trattamento illecito di dati    Non prevista    Da € 10.000 a € 120.000
Inosservanza di prescrizioni
di misure o di divieti
del Garante    Non prevista    Da € 30.000 a € 180.000
Omessa informazione
o esibizione al Garante    Da € 4.000 a € 24.000    Da € 10.000 a € 60.000


Alla luce di quanto sopra esposto, è doveroso che in azienda si analizzino attentamente le procedure adottate, al fine di valutare la perfetta conformità delle stesse al Codice della Privacy (D. Lgs. 196/2003) e sue successive modifiche/integrazioni. Per completezza, si segnala anche che recentissimi provvedimenti normativi hanno introdotto talune razionalizzazioni e semplificazioni agli adempimenti previsti dal D. Lgs. 196/2003.

Torna alle normative