Privacy e trasparenza: slides seminario 15 ottobre 2014

PROTEZIONE DEI DATI E TRASPARENZA AMMINISTRATIVA
Seminario di formazione
I PROFILI SANZIONATORI
dr. Alessandro Bartolozzi
Profili sanzionatori desumibili dalle linee-guida
DATI COMUNI
«La diffusione di dati personali da parte dei soggetti pubblici
effettuato in mancanza di idonei presupposti normativi è
sanzionata ai sensi degli artt. 162, comma 2-bis, e 167 del
Codice».
«La diffusione di dati personali da parte dei soggetti pubblici
è ammessa unicamente quando la stessa è prevista da una
specifica norma di legge o regolamento (art. 19, comma 3,
del Codice)».
4
Profili sanzionatori desumibili dalle linee-guida
DATI SENSIBILI
«E’ invece sempre vietata la diffusione di dati idonei a
rivelare lo ‘stato di salute’ (art. 22, comma 8, del Codice) e la
‘vita sessuale’ (art. 4, comma 6, del d. lgs. n. 33/2013)».
La diffusione di dati sensibili è consentita solo nel caso in cui
sia prevista da espressa disposizione di legge (art. 22,
comma 11, del Codice) e sia indispensabile per «il
perseguimento di una finalità di rilevante interesse pubblico
come quella di trasparenza; ossia quando la stessa non può
essere conseguita, caso per caso, mediante l’utilizzo di dati
anonimi».
4
Le sanzioni previste dal Codice
L’ILLECITO TRATTAMENTO IN AMBITO PENALE
Le norme citate (art. 19; art. 22, commi 8 e 11) sono
richiamate dall’art. 167 del Codice che delinea la fattispecie
sanzionatoria penale dell’illecito trattamento.
Occorre che sia dimostrato il dolo specifico e il «nocumento»
inteso come pregiudizio economicamente apprezzabile
(Corte di Cassazione, sezione III penale, Sent. n. 1134 del 28
maggio/9 luglio 2004).
4
Le sanzioni previste dal Codice
L’ILLECITO TRATTAMENTO IN AMBITO AMMINISTRATIVO
Nel 2009 è stata introdotto nel Codice l’art. 162, comma 2bis:
«in ogni caso» di violazione delle disposizioni indicate nell’art.
167, è prevista l’applicazione di una sanzione amministrativa
da 10.000 a 120.000 euro.
Trattandosi di norma sanzionatoria applicata in sede
amministrativa non occorre che sia dimostrato il dolo o il
nocumento ma la condotta «cosciente e volontaria, sia essa
dolosa o colposa» (art. 3, legge n. 689/1981).
4
Il procedimento sanzionatorio
LEGGE N. 689/1981 E REGOLAMENTO N. 1/2007
- Procedimento attivato con segnalazione dell’interessato o
su iniziativa dell’Ufficio;
- Ad una fase di accertamento deve seguire, entro 90 giorni,
un atto di contestazione di violazione amministrativa;
- Possibilità di pagamento in misura ridotta entro 60 giorni;
- Possibilità di invio, entro 30 giorni, di memorie difensive o
richiesta di audizione per la successiva fase;
- Provvedimento collegiale di applicazione della sanzione o
provvedimento
dell’Ufficio
di
archiviazione
del
procedimento sanzionatorio
4
Ulteriori profili sanzionatori di carattere generale
Gli obblighi relativi all’informativa e alla sicurezza sono
espressamente richiamati nelle linee-guida in materia di
trattamento dei dati personali per finalità di pubblicazione e
diffusione di enti locali del 19 aprile 2007 (in www.gpdp.it,
doc. web n. 1407101).
Il d. lg. n. 33/2013 non ha introdotto nuove deroghe
all’obbligo di informativa di cui all’art. 13 del Codice.
Eventuali violazioni delle disposizioni in tema di informativa
sono sanzionate in sede amministrativa (art. 161).
4
Ulteriori profili sanzionatori di carattere generale
Possibili violazioni delle disposizioni in materia di misure
minime di sicurezza (artt. 33 e segg. del Codice) possono
ricorrere in particolare in relazione all’accesso selettivo alla
documentazione trasferita nella sezione «archivio» del sito
web istituzionale.
Dalle omissioni nell’adozione delle misure minime di
sicurezza (art. 33 del Codice) conseguono sia sanzioni penali
(con possibilità di oblazione) che sanzioni amministrative
(senza possibilità di definizione in via breve).
4
Attenuanti e aggravanti (art. 164-bis, del Codice)
La minore gravità della condotta o la particolare rilevanza
sociale o economica dell’attività svolta dal titolare del
trattamento possono consentire l’applicazione della
diminuente di cui al 1° comma dell’art. 164-bis del Codice.
Il coinvolgimento di numerosi interessati può determinare il
raddoppio della sanzione prevista (art. 164-bis, comma 3).
La concorrenza di più violazioni in relazione ad una banca
dati di particolare rilevanza o dimensione può configurare
l’autonoma fattispecie di cui all’art. 164-bis, comma 2.
4
Le decisioni del Garante
Il Garante ha già applicato numerose sanzioni per la
diffusione di dati comuni e sensibili, fuori da espresse
disposizioni di legge, fra le quali:
- doc. web n. 3393362, ordinanza-ingiunzione del 6 febbraio
2014, nella quale sono state riconosciute anche
circostanze aggravanti;
- doc. web n. 3348446, ordinanza-ingiunzione del 10 luglio
2014, nella quale è stato anche trattato il tema della buona
fede, invocata dal titolare;
- doc. web n. 3281922, ordinanza-ingiunzione del 5 giugno
2014, che ha preso in esame il tema dell’indicizzazione nei
motori di ricerca, dei provvedimenti oggetto di
pubblicazione on-line.
4