8/b. Quali sono le sanzioni che possono colpire l’OdV in caso di violazione delle regole della privacy? Ma cosa giustifica tutti questi adempimenti formali e delle sanzioni così pesanti?
 

RISPOSTA (Autore: Davide Cester, CSV Padova)

Il mancato rispetto delle norme del Codice della privacy può comportare l’applicazione di sanzioni penali e amministrative, e può anche fondare un’azione di risarcimento dei danni a carico dell’OdV.
Sono colpite dalla sanzione penale della reclusione varie ipotesi di trattamento illecito di dati che ha causato un danno a terzi (es. trattamento svolto senza il consenso dell’interessato, trattamento illecito di dati sensibili e giudiziari), come anche la falsità nelle dichiarazioni e notificazioni al Garante. E’ colpita dall’arresto o dall’ammenda l’omessa adozione delle misure minime di sicurezza, con possibilità di estinguere il reato attraverso la regolarizzazione e il pagamento di € 12.5000.
Un reato può essere commesso (e la pena applicata) solamente a persone fisiche e pertanto non all’OdV, che è una persona giuridica: in termini generali si può dire che la responsabilità penale colpisce chi esercita il potere direttivo e ha preso le decisioni in materia di privacy, e anche chi ha poteri di controllo e vigilanza sull’adempimento degli obblighi della privacy (membri del consiglio
direttivo, Presidente, Responsabile del trattamento ecc.).
Le sanzioni amministrative sono decise dal Garante e consistono nell’obbligo di pagare una somma di denaro, ad esempio nel caso di mancata trasmissione all’interessato dell’informativa o nella grave carenza dell’informativa, o di violazione delle regole sulla comunicazione dei dati sanitari, di mancata o incompleta notifica del trattamento al Garante o di rifiuto di fornire al Garante informazioni richieste o di esibire documenti. La responsabilità amministrativa colpisce le persone fisiche che hanno commesso la violazione (responsabili o incaricati del trattamento), ma anche, in casi particolari, la stessa OdV.
Infine, l’OdV che, con dolo o colpa, attraverso i suoi aderenti o dipendenti abbia causato un danno per effetto del trattamento di dati personali può anche essere citata in giudizio dal danneggiato ed esser condannata al risarcimento per responsabilità civile. Per liberarsi da responsabilità l’OdV dovrà dimostrare di aver “adottato tutte le misure idonee ad evitare il danno” ai sensi dell’art. 2050
c.c.
Si tratta di sanzioni pesanti e rigorose, e il Codice peraltro non prevede alcuna deroga o attenuazione a favore degli enti “non profit” o delle OdV in ragione del loro fine solidaristico.
L’effettiva possibilità di essere sanzionati dipende – come in altri ambiti – dalla rilevanza, gravità e notorietà della violazione, nonché dall’efficacia ed incisività dei controlli, che potrebbero derivare, nel caso delle OdV, ad esempio dalle verifiche fiscali.
In generale, si può dire che il Codice impone doveri piuttosto formali e gravosi, quasi che lo svolgimento di questi obblighi burocratici fosse di per se stesso automatica garanzia per i terzi, il che chiaramente non è.
Tuttavia, a prescindere dal pericolo di essere sanzionati, e nonostante l’eccessiva burocratizzazione stabilita dal legislatore, gli adempimenti in materia di privacy, ma soprattutto, nella prassi concreta
e quotidiana dell’OdV, il rispetto della riservatezza dei soci e dei beneficiari dell’attività istituzionale siano elemento che qualifica, contraddistingue e valorizza l’OdV agli occhi della collettività, anche in ragione delle particolari situazioni, anche di difficoltà e di bisogno, che l’OdV incontra nel perseguimento dei fini istituzionali e che più meritano tutela, attenendo alla sfera intima e personale dell’individuo.