Nonostante il fascino di alcune proposte circa la non applicazione di sanzioni pecuniarie in caso di notifica di data breach, alcune delle sanzioni irrogate dalle autorità di controllo hanno avuto origine negli accertamenti collegati ad un evento di violazione dei dati pur tempestivamente notificato. L’inattuabilità di un metodo di “tana libera tutti” in seguito alla notifica di data breach è presto detta: deresponsabilizzerebbe i titolari del trattamento dall’applicare i principi di protezione dei dati sin dalla progettazione di cui all’art. 25 GDPR, ponendosi in contrasto con il sistema di garanzie e tutele sostanziali del Regolamento e il principio di accountability.
Per sgomberare i dubbi dalla fascinosa tentazione del canto delle sirene, inoltre, è bene chiarire che in caso di notifica di violazione dei dati non vi è alcun automatismo sanzionatorio, ma anzi l’art. 83 GDPR, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, indica alle autorità di controllo l’obbligo di tenere conto delle condizioni di ogni singolo caso e di considerare nella decisione relativa sia all’emissione della sanzione pecuniaria sia alla conseguente determinazione della stessa, una serie di elementi puntualmente indicati.
Fra gli elementi da considerare figurano, ad esempio: “il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;” (art. 83.2 lett. d) GDPR)), “la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;” (art. 83.2 lett. h) GDPR), “eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.” (art. 83.2 lett. k) GDPR). Tali criteri già consentono di escludere, per logica, ogni automatismo notifica-sanzione, indicando piuttosto l’esigenza di svolgere un’istruttoria per approfondire ciascun elemento e poter dunque escludere l’applicazione di sanzioni pecuniarie.
Vero è che se nel corso di istruttoria sono riscontrate evidenze quali ad esempio:
- attività di trattamento svolte in assenza di una base giuridica che ne fondi la liceità;
- mancata cancellazione dei dati alla scadenza della conservazione;
- inadeguatezza delle misure di sicurezza per carenza di analisi ed implementazione riferite allo stato dell’arte e alla gestione dei rischi;
- inosservanza delle prescrizioni contenute nei provvedimenti dell’Autorità Garante (ad es. per le funzioni di amministratore di sistema);
le conseguenze non possono che portare all’applicazione di una sanzione, in aggiunta alle misure correttive previste dall’art. 58.2 GDPR. La notifica, inoltre, non ha affatto il carattere di un’auto-incriminazione in quanto si limita a segnalare nel contenuto una violazione e se gli accertamenti ispettivi accertano una non conformità al GDPR questa è, per logica, preesistente all’evento di data breach.
Prospettare l’inapplicabilità di sanzioni pecuniarie in caso di notifica della violazione dei dati è un incentivo a “spostare” ogni problema di vulnerabilità della sicurezza ad un momento rimediale e successivo e non preventivo, sollevando da ogni obbligo di analisi e verifica dell’efficace attuazione delle misure predisposte e, di fatto, svuotando di sostanza l’art. 32 GDPR. Inoltre, gli interessati in questo scenario andrebbero a sostenere per intero il costo (e dunque: il rischio) di una mancata predisposizione delle misure di sicurezza subendo l’impatto della violazione dei dati potendo al più contare sulla predisposizione di misure successive di contenimento e future implementazioni per la prevenzione di un nuovo danno.
