L’autorità di controllo polacca (UODO – Urząd Ochrony Danych Osobowych) ha emesso una sanzione nei confronti di una società di telemarketing per aver ostacolato l’attività ispettiva fino a renderne impossibile lo svolgimento. La mancata collaborazione con l’UODO è stata così significativa da aver aver comportato anche dei profili di responsabilità penale per l’organizzazione ai sensi della normativa nazionale applicabile. Prescindendo dagli aspetti penali, che ciascuno degli Stati determina con normativa nazionale, è bene guardare alla violazione contestata.
Ai sensi dell’art. 31 GDPR, “Il titolare del trattamento, il responsabile del trattamento e, ove applicabile, il loro rappresentante cooperano, su richiesta, con l’autorità di controllo nell’esecuzione dei suoi compiti”. È chiaro che l’interpretazione e la conseguente applicazione della norma relativa all’obbligo di cooperazione svolge un ruolo significativo e concreto nella valutazione delle circostanze per la contestazione di una violazione. Ovviamente, qualora vi sia un comportamento estremo quale l’irreperibilità o il rifiuto di fornire informazioni, nulla quaestio sull’applicazione della sanzione pecuniaria richiamata dall’art. 83.4 GDPR (fino a 10 milioni di euro o 2% del fatturato). Tale aspetto è considerato anche da parte di alcune autorità di controllo all’interno dell’attività ispettiva, spesso nei limiti della valutazione delle circostanze di un’altra violazione già accertata, ma quali criteri possono essere richiamati per valutare tutti quei comportamenti che si trovano nella “zona grigia” fra il manifestamente illecito e il comprensibilmente lecito e stabilire un confine definito ed uniforme?
L’autorità belga, in una recente pronuncia ha ad esempio indicato come criteri per rilevare tali comportamenti le cc.dd. “Ten D’s”: Deflection, Delays, Denials, Discounting, Deception, Dividing, Dulcifying, Discrediting, Destroy, Deal. Il catalogo delle tattiche di opposizione ha come comune denominatore l’effetto di rendere meno efficace l’azione istruttoria esercitata da parte dell’autorità di controllo, pertanto ciascuno dei comportamenti può essere un indicatore utile per l’accertamento di una violazione dell’art. 31 GDPR. Ovviamente, occorre che siano riscontrabili in concreto anche la volontà di non cooperare ed un effettivo ostacolo allo svolgimento dei compiti ispettivi. Mentre sul primo aspetto possono valere indizi e presunzioni, la valutazione del secondo aspetto deve trovare degli effettivi riscontri, dovendo risultare in una condotta quanto meno idonea a produrre l’effetto di ostacolare e rendere meno efficace l’attività istruttoria (ad esempio: rallentandola o rendendo impossibile il reperimento di informazioni necessarie per gli accertamenti).
Per quanto emerso, è prevedibile che la portata dell’obbligo di cooperazione sarà un nodo sempre più frequente all’interno dei provvedimenti delle singole autorità di controllo. Il che fa sperare in un intervento da parte dell’EDPB che possa definire linee guida e criteri uniformi a riguardo.
