L’importo delle sanzioni applicate dal Garante per la Protezione dei dati personali e riscosse dall’erario nell’anno 2014, pari a 5 milioni di euro, segna un incremento di quasi un milione di euro rispetto al 2013. I numeri parlano chiaro: l’ammontare delle sanzioni comminate nel 2014 a PA e società private è aumentato di circa 20 punti percentuali in più rispetto al 2013.
Ma i numeri non possono essere l’unico valore da prendere in esame per conoscere quale sia il reale andamento dell’attività ispettiva dell’Autorità. E infatti, sebbene il valore delle sanzioni sia incrementato nel corso dell’ultimo anno, diversamente ci troviamo a dover registrare un significativo decremento di accertamenti ispettivi condotti dall’Autorità anche mediante il contributo delle Unità speciali della Guardia di Finanza: 385 nel 2014, contro i 411 registrati nel 2013; procedimenti sanzionatori: 577 nel 2014, contro gli 850 avviati nel 2013; segnalazioni all’Autorità giudiziaria per violazioni penali: 39 nel 2014, contro le 71 comunicate nel 2013.
Ci troviamo a dover registrare una vera e propria inversione di tendenza nel consueto modus operandi del Garante: ad un sistematico aumento del valore economico delle sanzioni applicate nel concreto corrisponde, oggi, un’inaspettata diminuzione dei procedimenti sanzionatori e degli accertamenti ispettivi che annualmente vengono svolti avvalendosi, ove necessario, della collaborazione di altri organi dello Stato. Cosa dovremmo aspettare per il futuro?
In Italia il sistema sanzionatorio in materia di protezione dei dati personali, originariamente sbilanciato a favore della sanzione penale, è stato successivamente oggetto di una serie di azioni correttive. Ci si riferisce, in particolare, alle modifiche intervenute ad opera del Decreto Legge n. 207/2008, convertito nella Legge n. 41/2009 che, fra le altre cose, hanno innalzato i limiti minimi e massimi di alcune sanzioni amministrative previste negli artt. 161 e ss. del D. Lgs. n. 196/2003 (Codice Privacy). Aumentando il peso delle sanzioni si è così contribuito ad enfatizzare il ruolo di enforcement dell’Autorità chiamata ad applicarle. Se ne sono accorti, in primis, chi ha ricevuto le ingiunzioni di pagamento. L’Autorità, al tempo stesso, appare però essere diventata più selettiva nell’applicazione delle sanzioni. Ma tutto ciò potrebbe non essere sufficiente. Sarebbe opportuno fare un ulteriore passo in avanti sia per consolidare il ruolo del Garante sia per accentuare la funzione deterrente delle sanzioni amministrative, anche tenendo in considerazione i criteri e le procedure di valutazione della accountability dei data controllers indicati nella bozza di regolamento europeo sulla protezione dei dati.
In sintesi sembrerebbe essere necessario introdurre dei meccanismi di bilanciamento delle sanzioni amministrative per attenuare l’impatto economico delle stesse nei confronti, ad esempio, di Pmi con riferimento alle violazioni minori compiute per la prima volta; ma a fronte di un progressivo inasprimento delle sanzioni e di una maggiore concentrazione delle azioni di enforcement nei riguardi di Ott e di altri grandi titolari del trattamento, sarebbe opportuno moltiplicare i tentativi di concertazione, audit preventivo e remedies che tanto gioverebbero al sistema di circolazione dei dati. In tal senso, il recente protocollo di verifica siglato tra il Garante e Google sembrerebbe andare esattamente verso tale direzione.
