Art. 84 GDPR — Sanzioni

Commento

Le altre sanzioni nazionali

L'art. 84 GDPR prevede che gli Stati membri stabiliscano le norme relative alle altre sanzioni applicabili in caso di violazione del Regolamento, in particolare per violazioni che non sono soggette a sanzioni amministrative pecuniarie ex art. 83, e adottino tutti i provvedimenti necessari per assicurarne l'applicazione. La norma estende il sistema sanzionatorio: oltre alle sanzioni amministrative europee, sono ammesse sanzioni nazionali ulteriori (penali, civili, disciplinari) per coprire violazioni non sanzionate direttamente dal GDPR.

Coordinamento con sanzioni amministrative

Il coordinamento con le sanzioni amministrative dell'art. 83 è il punto chiave: le sanzioni nazionali integrano ma non sostituiscono quelle europee. Per le violazioni elencate negli artt. 83, par. 4-5, opera la disciplina europea. Per altre violazioni (norme nazionali sulla protezione dei dati, violazioni che richiedono tutela penale), opera il diritto SM. La giurisprudenza CGUE ha confermato la compatibilità delle sanzioni nazionali con il sistema europeo, purché proporzionate.

Sanzioni penali nazionali

Le sanzioni penali nazionali sono ammesse per condotte di particolare gravità. In Italia, l'art. 167-167-ter D.Lgs. 196/2003 disciplina i reati: trattamento illecito di dati (art. 167), comunicazione e diffusione illecita di dati su larga scala (art. 167-bis), acquisizione fraudolenta di dati (art. 167-ter). Le pene sono detentive (reclusione da 1 a 6 anni a seconda della gravità) e applicate dal giudice penale.

Direzione SM su misura

La discrezione SM consente di calibrare il sistema sanzionatorio nazionale alle specificità del proprio ordinamento. Italia, Germania, Francia hanno discipline penali diverse. La cooperazione europea (Eurojust, mandato d'arresto europeo) facilita l'enforcement transfrontaliero. Il Reg. (UE) 2017/1939 sulla Procura europea (EPPO) può intervenire per reati gravi che ledono interessi finanziari UE.

In Italia: D.Lgs. 196/2003

In Italia, il quadro è articolato: sanzioni amministrative del Garante (artt. 165-166 D.Lgs. 196/2003) coordinate con art. 83; sanzioni penali (artt. 167-167-ter) per reati gravi; sanzioni civili (risarcimento ex art. 82 GDPR e regole nazionali); responsabilità disciplinare (per dipendenti); responsabilità professionale (per professionisti). Il sistema è multilivello.

Effetto deterrente

L'effetto deterrente delle sanzioni nazionali è complementare alle sanzioni europee. Le sanzioni penali, anche se applicate in casi limitati, generano impatto reputazionale e personale (per amministratori e personale). La giurisprudenza penale italiana sui reati di trattamento illecito è in sviluppo: casi su data breach, condivisione illecita di dati sensibili, accessi abusivi a banche dati pubbliche.

Regola pratica e checklist operativa

Compliance art. 84: (i) consapevolezza del sistema multilivello; (ii) prevenzione di condotte penalmente rilevanti; (iii) policy interne stringenti su categorie particolari e accessi; (iv) formazione del personale; (v) coordinamento con consulenti penalisti per situazioni a rischio; (vi) tutela del management con D&O insurance.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.