Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.
La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR, al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.
La novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.
Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.
In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.
In presenza di una violazione si possono avere varie conseguenze:
- l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
- se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
- la violazione può portare a danni reputazionali a carico del titolare con gravi conseguenze sull’attività dell’azienda;
- la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
- la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
- la violazione può portare all’applicazione di eventuali sanzioni penali.
Il regolamento europeo distingue due gruppi di violazioni.
Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
- inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
- inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
- inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:
- inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
- inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
- inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
- inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
- inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.
L’autorità di controllo ha il potere di irrogare sanzioni correttive.
Essi consistono nel:
- rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
- rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
- ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
- ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
- imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
- ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
- revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
- infliggere le sanzioni amministrative pecuniarie;
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.
Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.
Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.