Articolo tratto da “Il Sole 24 ore” di lunedì 6 marzo 2006
Responsabile il titolare
Non programmare il DPS, così come non adottare le altre misure minime, può costare caro.
Il Codice della privacy prevede la sanzione penale alternativa dell’arresto sino a due anni oppure dell’ammenda da 10.000 a 50.000 euro. Trattandosi tecnicamente di una contravvenzione, non scatta la sanzione accessoria della pubblicazione del provvedimento di condanna sui giornali.
RESPONSABILE E’ IL TITOLARE
La sanzione cade sul titolare del trattamento che gode di autonomo potere decisionale anche sotto il profilo della sicurezza. Nel caso in cui il titolare sia una persona giuridica, per una corretta individuazione del responsabile penale (il cosidetto soggetto attivo del reato) occorre verificare le attribuzioni specifiche dei singoli nell’ambito del vertice esecutivo della struttura.
Oltre all’omissione del DPS è sanzionabile penalmente anche la mancata attestazione nella relazione al bilancio, prevista dalla regola 26 del Disciplinare tecnico allegato al Codice.
E’ legittimo chiedersi anche se rientri fra le ipotesi sanzionabili anche quella di un DPS il cui contenuto non rispetti i canoni redazionali prescritti dai punti della regola 19 del disciplinare.
Sembrerebbe spettare al giudice determinare se, nel caso specifico, l’omissione di talune indicazioni che si sarebbero dovute riportare obbligatoriamente nel DPS, abbia rilevanza tale da potersi configurare come omissione di una misura minima di sicurezza tout court e, in quanto tale, essere sanzionata ai sensi dell’articolo 169 del Codice.
POSSIBILE RAVVEDERSI
Di interesse, in ambito sanzionatorio, è l’istituto della regolarizzazione mediante il quale il legislatore ha adottato un indirizzo normativo che privilegia la logica di deterrenza con il ricorso al metodo di ravvedimento/riparazione. Si tratta di una soluzione che ricalca il modello in materia di contravvenzioni in tema di sicurezza e igiene del lavoro e presenta affinità con il ravvedimento operoso introdotto in ambito tributario.
La regolarizzazione funziona nel modo seguente. Nel contesto di un accertamento del Garante che riscontri l’omissione di una misura minima di sicurezza (nel nostro caso il DPS), L’Authority può sollecitare il titolare del trattamento a mettersi in regola. Questo invito può avvenire sia nel corso dell’ispezione stessa, sia successivamente. L termine per la regolarizzazione è stabilito dal garante ed è prorogabile in presenza di particolare complessità o di oggettive difficoltà nell’adempimento, per non oltre 6 mesi.
Nei 60 giorni successivi alla scadenza del termine fissato, L’autorità verifica se la mancanza è stata correttamente sanata.
Se la verifica ha esito positivo, il titolare viene ammesso a pagare la somma di 12.500 euro. L’adempimento riparatorio e il pagamento della somma ridotta estinguono il reato evitando implicazioni di tipo penale.
IL RISARCIMENTO
L’eventuale soggetto danneggiato dall’uso dei propri dati personali non correttamente protetti, potrà rivalersi sul titolare a fronte della dimostrazione che i danni patiti siano dipesi in tutto o in parte dalla mancata osservanza di una prescrizione del disciplinare tecnico.