Se l’impresa non coopera con il Garante della privacy, fornendo le informazioni richieste, si espone a una pesante sanzione amministrativa. È quanto ha stabilito il Garante della privacy del Belgio, il quale – con la decisione n. 94/2026 del 28/4/2026 – ha inflitto un’ammenda a un ente che, convocato per essere sentito nel corso di un procedimento sanzionatorio, non si è presentato.

Il provvedimento dell’autorità belga, rappresentando un’interpretazione del Gdpr (Reg. UE 2016/679), costituisce un precedente interpretativo (non vincolante) da prendere in considerazione anche in Italia.

La pronuncia in esame solleva, peraltro, spinose questioni a proposito del livello di garanzie difensive ammesse dal Gdpr (l’impresa è obbligata ad autoaccusarsi?) e dell’onere della prova degli illeciti previsti dalle norme sulla privacy (è l’impresa che deve provare la sua “innocenza” o è il Garante che deve dimostrare gli elementi, fattuali e valutativi, su cui si base l’incolpazione?). In ogni caso, alla lettura sistematica del Gdpr e del codice della privacy emerge un sorprendente disallineamento quanto all’importo della sanzione per le condotte non collaborative.

Impresa sanzionata per l’assenza

Nella vicenda belga, una persona ha chiesto a una fondazione senza scopo di lucro la cancellazione dei suoi dati personali.  Non avendo avuto risposta, l’interessato ha presentato un reclamo al Garante nazionale.

Nel corso del procedimento, l’autorità ha convocato le parti, ma né l’interessato né la fondazione si sono presentati. La vicenda si è chiusa con l’applicazione della sanzione pecuniaria di mille euro per due violazioni: oltre alla omessa tempestiva cancellazione dei dati dell’interessato, la fondazione è stata punita per non avere collaborato con il Garante.

Ed è questo il profilo più rilevante della pronuncia: il trattamento sanzionatorio per mancata cooperazione. Il tema va studiato approfondendo tre livelli di analisi:

1) l’ingarbugliato ginepraio delle norme UE e italiane sulla determinazione dell’importo delle sanzioni;

2) l’impatto dell’obbligo di accountability sulle garanzie e sui diritti di difesa del soggetto coinvolto in un procedimento sanzionatorio;

3) l’individuazione del soggetto gravato dell’onere probatorio relativo agli elementi dell’illecito.

Il garbuglio sanzionatorio

Al centro del provvedimento in esame c’è l’art. 31 Reg. UE 2016/679 che impone ai titolari del trattamento (imprese, professionisti, PA, enti) di cooperare con l'autorità di controllo su richiesta di quest'ultima, nell'esecuzione dei suoi compiti.

La violazione dell’obbligo di cooperazione è punita dal Gdpr con sanzioni amministrative pecuniarie. Peraltro, la ricostruzione delle sanzioni non è semplice, in quanto abbiamo un groviglio di norme da districare.

Innanzi tutto, la violazione dell’art. 31 citato rientra nella previsione dell’art. 83 par. 4 Gdpr: si applica, dunque, la fascia sanzionatoria con un massimo fino a 10 milioni di euro o, per le imprese, fino all’importo, se superiore, corrispondente al 2% del fatturato annuo.

Sul punto, tuttavia, bisogna fare attenzione, perché se il titolare del trattamento nega l’accesso del Garante a dati e informazioni, a locali e strumenti e mezzi, si applica la lett. e) del par. 5 dell’art. 83 citato, con sanzione massima fino a 20 milioni di euro o, per le imprese, fino all’importo, se superiore, corrispondente al 4% del fatturato annuo. 

Andando, poi, alla normativa di armonizzazione italiana, si incontra l’art. 157 del codice della privacy (D.Lgs. 196/2003), che è letteralmente formulato come abilitazione del Garante a chiedere informazioni e documenti (e non come dovere del destinatario della richiesta). Ad ogni modo, l’art. 166 del codice della privacy prevede la sanzione per la violazione dell’art. 157 citato (e, quindi, si deduce, per l’inerzia totale o parziale a fronte della richiesta del Garante). L’art. 166, tuttavia, richiama la sanzione prevista dall’art. 83 par. 5 Gdpr e, quindi, la sanzione fino a 20 milioni di euro/4% del fatturato.

Ci si chiede a questo punto se la mancata consegna di informazioni, a richiesta del Garante, sia punita fino a 10 milioni/2% del fatturato oppure fino a 20 milioni/4% del fatturato.

Altrimenti detto, ci si interroga su quali siano i casi in cui sia applicabile la sanzione prevista dall’art. 83 par. 4 Gdpr (fino a 10 milioni di euro/2% del fatturato), prevista dal Gdpr stesso per la mancata cooperazione alla richiesta del Garante. Senza trascurare, comunque, il fatto che la legge italiana, sul punto, difetta di armonizzazione rispetto al Gdpr.

L’impatto sul diritto di difesa

Nell’episodio al centro della pronuncia in commento, il Garante belga ha rilevato che la fondazione non ha presentato scritti difensivi e non si è presentata alla convocazione.

In proposito, il Garante ha sottolineato, innanzitutto, che la decisione se presentare o non presentare scritti difensivi sia rimessa alla libera scelta del soggetto incolpato.

Al contrario, il Garante ha riferito che, se l’autorità convoca d’ufficio le parti, ciò significa che essa necessita di ulteriori informazioni per poter adottare la decisione con piena conoscenza dei fatti. Seguendo questo ragionamento, il Garante belga ha deciso che la fondazione, non presentandosi alla convocazione, non ha collaborato e ha violato l’art. 31 Reg. UE 2016/679. 

A fronte di questa impostazione emerge una questione generale, relativa agli obblighi di accountability delle imprese in relazione ai procedimenti sanzionatori.

Ci si chiede se l’obbligo di dimostrazione della conformità al Gdpr, fissato dall’art. 5 par. 2 Gdpr, si spinga fino includere l’obbligo, nel corso di una subita ispezione, di fornire al Garante informazioni e documenti che, in ipotesi, dimostrino l’avvenuta violazione delle prescrizioni del Gdpr.

Il dilemma è, dunque, se il titolare del trattamento, poiché è obbligato a cooperare con il Garante, sia di fatto obbligato ad autoaccusarsi di una o più violazioni e ciò per evitare la sanzione prevista per la mancata cooperazione o per violazione del dovere di accountability (art. 5 Gdpr).

In materia, va, comunque, considerato che in Italia, ai sensi dell’art. 166 c. 7 del codice della privacy, si applica la L. 689/81, il cui art. 4 prevede che non risponde delle violazioni amministrative chi ha commesso il fatto nell'esercizio di una facoltà legittima (tra cui rientrano le lecite prerogative difensive).

Per completezza, si aggiunge che diversamente dall’ambito sanzionatorio, nei rapporti civilistici e, in particolare, ai fini del risarcimento del danno, l’onere probatorio a carico dell’impresa è, invece, coerente con il favor per il danneggiato, stabilito dall’art. 82 Gdpr.

A chi spetta l’onere probatorio

Il tema porta ad un’ulteriore riflessione relativa all’onere della prova sugli elementi costitutivi (soprattutto quelli di natura valutativa) di una violazione del Gdpr.  Si consideri, ad esempio, una vicenda in cui l’autorità Garante ipotizzi a carico di un’impresa il compimento di una violazione. Il quesito è se possa considerarsi provata la violazione per effetto della mancata fornitura/esposizione di elementi a discarico da parte dell’incolpato oppure se, per poter applicare la sanzione, incomba sul Garante l’onere di provare gli elementi positivi a carico.

In quest’ultimo caso l’insufficienza di prove da parte del Garante, sugli elementi costitutivi posti a fondamento della sanzione, comporta l’assoluzione dalla responsabilità amministrativa.

L’orientamento, per cui l’onere della prova a sostegno di atti sanzionatori è a carico dell’amministrazione, è confermato dalla giurisprudenza della Corte di Cassazione (ad esempio Cass. 13391/2026).

Pertanto, nel caso di provvedimenti sanzionatori, le imprese potranno tentare di argomentare a loro vantaggio l’eventuale assenza di prova degli elementi costitutivi della contestata violazione.