Sanzioni GDPR in Italia e in Europa nel 2020
Il 2020 sta per terminare e possiamo fare un bilancio sull’impatto del Regolamento generale sulla protezione dei dati (GDPR) sotto l’aspetto delle sanzioni amministrative. Il GDPR è in vigore dal maggio 2016 e pienamente efficace dal maggio 2018, è una normativa ormai presente nella nostra quotidianità.
Un’indagine a livello europeo ha rilevato che l’Italia è risultata la nazione con il più alto importo inflitto per violazioni GDPR, una somma pari a 45 milioni di euro, su un totale europeo di circa 60 milioni. In Italia, le sanzioni più importanti di quest’anno hanno riguardato tre operatori economici telefonici, per somme pari a 27.800.000€, 16.700.000€ e 800.000€.
Ma quali sono le maggiori violazioni, le cause più comuni che portano alla somministrazione di sanzioni economiche da parte dei Garanti europei? Le sanzioni più frequenti si riferiscono alla mancanza di un’adeguata base giuridica che legittima il trattamento dei dati personali: trattare dati senza il consenso dell’interessato, o in assenza di requisito normativo o contrattuale. Altra causale ricorrente si riferisce a violazioni legate all’adozione di misure tecniche e organizzative insufficienti a garantire la sicurezza dei dati personali (situazioni spesso emerse in occasione di un data breach). Vengono spesso sanzionate violazioni legate all’inosservanza dei principi generali del GDPR (tra cui i principi di liceità, trasparenza, correttezza e di minimizzazione dei dati). Sono rilevanti anche le sanzioni per inadempimento rispetto ai diritti degli interessati; assenza di opportune informative come previsto dagli artt. 13 e 14 GDPR; assenza di adeguata collaborazione con le Autorità di controllo; mancanza di notifica a seguito di data breach ed infine violazioni per mancanza di nomine ex art.28 GDPR per i Responsabili del trattamento.
I Garanti europei predispongono piani ispettivi per programmare le proprie verifiche, individuando i settori che saranno monitorati, oltre alle segnalazioni provenienti da parte dei cittadini. Analizzando i dati in merito al numero delle multe inflitte, è possibile vedere un trend di crescita costante, partendo dalla prima multa risalente al luglio 2018, fino ad arrivare alle 419 del solo mese di novembre 2020, per una somma complessiva di 260 milioni di euro. Numeri importanti che denotano come i controlli si sono intensificati nel tempo.
Il Paese con la somma totale più alta di multe è l’Italia insieme a Francia seguita da Germania, Regno Unito ed Austria.
I settori più colpiti sono quelli delle comunicazioni e media, con 97 multe ed un totale di 117 milioni di euro, seguiti dal settore dell’industria e commercio; trasporti ed energia. Sono di rilievo anche le sanzioni nei settori della pubblica amministrazione, relativamente a istruzione e sanità.
Le aziende con il maggior numero di sanzioni sono quelle delle telecomunicazioni, seguite dalle aziende o brand di moda; catene di hotel e compagnie di trasporto aereo. In particolare, I colossi mondiali del web saranno degli osservati speciali dei prossimi mesi, anche a seguito dell’abolizione del Privacy Shield da parte della Corte della Giustizia europea, ovvero l’accordo tra USA ed Europa che permetteva il trattamento dei dati personali tra i due continenti.
Le sanzioni non colpisco solamente realtà grandi e strutturate, ma possono intervenire anche per contesti più piccoli, infatti il Garante ha l’obbligo di attivare le sue attività ispettive a seguito di segnalazioni provenienti dai cittadini.
Predisporre un adeguato modello organizzativo in riferimento alle tematiche privacy e di sicurezza dei dati personali comporta la riduzione del rischio di attacchi informatici e data breach, con conseguenze correlate a sanzioni, danni di immagine nei confronti dei propri clienti e del mercato, nonché a impatti economici e finanziari.