L’Italia è seconda per numero di multe sollevate dalle autorità competenti in tema GDPR e quarta per l’ammontare delle sanzioni
Dal 2018, con il Regolamento UE 2016/679 General Data Protection Regulation meglio noto come GDPR-Regolamento Generale sulla Protezione dei Dati si è passati da una visione “proprietaria del dato” ad una di “controllo del dato” da tradursi nella possibilità della libera circolazione delle informazioni personali rafforzando però i diritti dell’interessato.
Di fatto l’attenzione della normativa è rivolta alla responsabilità del titolare e dei responsabili del trattamento, da qui la diffusione del concetto di “accountability” che nella sua traduzione italiana sta per “dover rendere del proprio operato”. Nella pratica questo si concretizza nell’adozione di comportamenti proattivi volti a dimostrare attenzione e interesse alla normativa europea.
Inoltre, l’approccio del GDPR è di tipo risk based incentrato sulla protezione del dato più che del soggetto e basato sulla valutazione del rischio. Per tanto è l’azienda a dover predisporre i termini della misura di responsabilità del titolare o del responsabile del trattamento tenendo conto della natura, del contesto e delle finalità del trattamento dei dati ponderandolo per la probabilità e la gravità del rischio di ledere i diritti e la libertà degli utenti.
Per quanto concerne l’aspetto sanzionatorio, agli articoli 83 e 84 del GDPR sono disciplinate le sanzioni da applicare nel caso di violazione della normativa in materia di privacy.
In particolare, si fa riferimento alle sanzioni amministrative, in quanto all’art. 84 il Regolamento prevede che ciascuno Stato disciplini in autonomia le sanzioni penali.
L’aspetto sanzionatorio
Secondo i dati forniti dal GDPR Enforcement Tracker e raccolti da Choesity le Autorità Europee competenti, fino ad ora, hanno sollevato multe per un valore di 1.670.650.336 di euro (dato al 22 agosto 2022) e in questo panorama l’Italia è il secondo Paese più sanzionato* in Europa e il quarto per ammontare delle sanzioni complessive che si aggirano attorno ai 138 milioni di euro.
Tuttavia, i dati relativi al nostro Paese non devono essere interpretati solo come conseguenza di una scarsa attenzione delle organizzazioni al tema della Data Protection ma va considerato invece anche il lavoro che svolge l’autorità competente. Infatti, il numero così elevato di sanzioni riflette sicuramente l’aumento dei controlli effettuati e di conseguenza la crescita del numero di multe comminate.
Infatti, osservando i trend e considerando stati come la Polonia e la Germania si può constatare che l’attività di verifica dell’Autorità Italiana è in forte crescita dal 2019 a differenza, per esempio, dei controlli effettuati in Germania.
Quali sono le conseguenze alle sanzioni?
In sintesi, le possibili conseguenze che concorrono in violazione del GDPR sono:
- Le sanzioni amministrative.
- Le sanzioni penali.
- Risarcimento del danno.
- Divieto temporaneo di trattare i dati personali.
È bene ricordare però che il GDPR disciplina solo le sanzioni amministrative e non prevede un valore minimo per queste. Interviene, infatti, l’autorità garante di competenza che commisurerà il valore sulla base dei criteri di effettività, proporzionalità e dissuasività.
Quali sono le principali motivazioni dei provvedimenti e cosa fare per evitare le sanzioni?
Le ragioni sono varie:
- Mancato rispetto dei principi generali in materia di trattamento dei dati.
- Misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni.
- Insufficiente adempimento dei diritti degli interessati.
- Insufficiente adempimento degli obblighi di informazione.
- Insufficiente accordo di trattamento dei dati.
- Insufficiente cooperazione con l’autorità di contenuto.
Quali sono le tre tre principali cause di violazione della normativa? Leggi di più all'articolo: "GDPR: un approccio preventivo di conoscenza aiuta a trattare i dati personali in compliance alla normativa"
Quello che però possiamo immediatamente notare è che le sanzioni e l’operato del GDPR riservano particolare rilevanza al concetto, già menzionato, di responsabilizzazione o accountability delle imprese, spronandole in qualche misura ad intervenire in maniera preventiva tramite l’adozione di comportamenti proattivi tesi ad assicurare la corretta applicazione del regolamento.
Quindi, questo concetto si colloca in un quadro normativo che ha surclassato il classico approccio, quasi coercitivo di adempimento degli obblighi, lasciando spazio alla sensibilizzazione e responsabilizzazione delle organizzazioni ai temi della Data Protection.
Nell’ottica del principio dell’accountability è chiaro come un approccio di tipo preventivo possa aiutare ad essere compliant alla normativa.
Il CISO e DPO di Archiva Group Luciano Quartarone suggerisce una serie di azioni da avviare al fine di mitigare la possibilità di essere sanzionati e, ancor di più, per poter effettivamente essere accountable:
- Condurre un assessment sul grado di copertura dei principi base del GPDR.
- Condurre un assessment sul grado di maturità e implementazione dei controlli di sicurezza descritti nel SoA (Statement of Applicability).
- Formulare un piano di formazione che tenga in considerazione tutti fattori che possono innescare le sanzioni.
In aggiunta, propone di riflettere sull’elemento di rottura della normativa rispetto al passato: l’approccio preventivo. Se prima si interveniva solo a posteriori, oggi la violazione sussiste dal momento in cui non siano state adottate le misure preventive idonee.
Un po’ lo spiega il concetto di accountability che abbiamo più volte nominato, si tratta di responsabilizzare e responsabilizzarsi vero una tematica che nell’era del digitale non può essere trascurata.
*175 multe fino all'8 settembre 2022