NEWS

Contestazioni di violazioni della privacy? la strategia di difesa in tre mosse

Sono tre i filoni principali delle difese in caso di contestazioni di violazioni della privacy: l'illecito non è sanzionabile; la mancanza commessa merita un ammonimento e non una sanzione pecuniaria; ci sono ragioni per cui la sanzione deve essere mantenuta su livelli più bassi. Vediamo, dunque, come potersi muovere e quali specifiche motivazioni si possono inserire negli atti difensivi.

tre i filoni principali delle difese in caso di contestazioni di violazioni della privacy

Non sanzionabilità - Il primo gruppo di difese consiste nell'eccepire ragioni per cui l'illecito non è sanzionabile. Può trattarsi, per esempio, che non risulti provata alcuna condotta negligente, imprudente o priva di perizia o nessuna violazione di legge, regolamento, ordine o disciplina.

L'assenza di colpa può derivare dalla non comprensibilità della norma ai fini della sua corretta applicazione oppure dalla situazione di incertezza normativa oggettiva, consistente nella stessa difficoltà di individuazione delle disposizioni normative applicabili. Anche la mancanza di una prassi da parte delle autorità di controllo o l'adozione di prassi contrastanti può giocare un ruolo esimente.

Da valutare a discolpa abbiamo anche la mancanza di precedenti decisioni dell'autorità di controllo e/o di precedenti giurisprudenziali o la formazione di orientamenti contrastanti presso le autorità di controllo.

La non sanzionabilità può essere eccepita a fronte del fatto che il fatto non è stato commesso dal titolare/responsabile del trattamento oppure è stato commesso da un terzo.

Anche le scriminanti conducono alla non applicabilità di sanzioni: si pensi all'adempimento di un dovere, all'errore sul fatto non determinato da colpa.

Un'ultima eccezione fa appello all'intervenuta prescrizione (anche se di difficilissima evenienza).

Ammonimento - Una seconda strategia scommette sul fatto di evitare la sanzione pecuniaria, rimanendo destinatari di un ammonimento da parte del Garante.

I motivi per cui si può sperare in un ammonimento possono essere: violazione minore; sanzione pecuniaria sproporzionata per la persona fisica; sanzione sproporzionata per la piccola impresa/impresa artigiana; lievità del fatto; lievità del danno; lievità della colpa; assenza di iscrizioni/annotazioni a carico del titolare/responsabile nei registri interni delle violazioni.

Allo stesso risultato si può aspirare nei casi di: condotta particolarmente risalente nel tempo; completa rimozione degli effetti della violazione; idonee assicurazioni da parte del titolare/responsabile del trattamento.

Quantificazione della sanzione - Una terza strategia si affida alla minimizzazione dell'importo della sanzione. A questo fine si può far valere che la violazione è di natura formale e nessun pregiudizio è occorso agli interessati o che la violazione ha comportato un pregiudizio di lieve entità, considerato che i dati personali non sono di natura particolare e non riguardano reati o condanne.

La riduzione della sanzione a livelli bassi si può chiedere adducendo la breve durata della violazione oppure che il numero di interessati lesi è di poche unità o, ancora, che il livello del danno subito dagli interessati è lievissimo, poiché si è trattato di un fatto istantaneo, senza comunicazione a terzi o diffusione.

Farà bene a chiedere un ridimensionamento della sanzione anche il titolare/responsabile che abbia integralmente risarcito il danno subito dagli interessati o che abbia adottato specifiche misure per attenuare il danno subito dagli interessati.

L'assenza di recidiva e l'autodenuncia (avere prontamente dato notizia dei fatti all'autorità di controllo), in particolare l'avere immediatamente notificato la violazione della sicurezza all'autorità di controllo ex art. 33 Gdpr, sono altrettanti motivi per abbassare l'asticella dell'importo della sanzione.

Vanno in questa direzione anche: l'avere immediatamente comunicato la violazione agli interessati; l'avere dimostrato un alto grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; la natura non sensibile dei dati personali.

Si dovrà tenere conto anche del fatto che il titolare ha aderito e osservato un codice di condotta approvato dall'autorità di controllo ai sensi dell'articolo 40 Gdpr oppure se ha osservato le condizioni della certificazione approvata ai sensi dell'articolo 42 Gdpr.Completano il quadro delle possibili motivazioni di un ribasso della sanzione: il non avere tratto benefici economici dalla commessa violazione; le condizioni economiche del trasgressore e, infine, l'immediata adesione a quanto richiesto dall'interessato nel reclamo presentato all'autorità di controllo.

Fonte: Italia Oggi Sette del 1° marzo 2021 - di Antonio Ciccia Messina

Note Autore

FederPrivacy FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Fatturazione elettronica, verso proroga di tre mesi per la conservazione
Next Intercettazioni inutilizzabili se mancano i verbali

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy