25 maggio 2018: questa data rappresenta uno spartiacque in tema di modalità di gestione dei dati personali da parte di imprese e aziende. Si tratta del giorno in cui è diventato operativo il GDPR, ovvero il regolamento UE per la protezione dei dati.
Per adeguarsi alla normativa, l’Unione Europea aveva concesso un periodo di “tolleranza” – terminato nel 2019 – che tuttavia non è stato sufficiente: alcuni hanno compreso questa necessità solo recentemente mentre altri non l’hanno ancora fatto.
Quello che l’Europa chiedeva agli operatori economici era di trasformare la struttura aziendale impegnata nel trattamento dei dati personali dei soggetti con cui entra in contatto e utilizzare procedure standardizzate in grado di garantire l’aderenza alle regole imposte dal GDPR.
In molti casi, però, le imprese non hanno recepito le direttive e si sono trovate a dover rispondere a richieste di chiarimenti da parte del Garante che, nel caso di violazioni della normativa GDPR, può infliggere pesanti sanzioni.
È fondamentale sottolineare che il Garante non ha sanzionato solo grandi società – come nel caso di alcune multinazionali che operano nel campo della telefonia – ma anche realtà molto più contenute, e che le cause intentate nei confronti delle aziende per la violazione dei dati personali sono in continuo aumento.
L’attività delle Autorità di regolamentazione incaricate da ciascun paese UE di controllare il rispetto della normativa GDPR è cresciuta costantemente in seguito alla data di applicabilità del Regolamento. Ecco, ordinate in base numero delle sanzioni, le motivazioni più frequenti per cui gli operatori economici europei sono stati sanzionati (i dati provengono dal portale www.enforcementtracker.com):
insufficiente base giuridica per il trattamento dei dati;
non conformità ai principi generali per il trattamento dei dati;
insufficienti misure tecniche e organizzative per assicurare la sicurezza delle informazioni;
mancato rispetto dei diritti soggettivi in materia di dati;
mancato rispetto degli obblighi di informazione;
insufficiente cooperazione con l’Autorità di controllo;
mancato rispetto degli obblighi di notificazione di un data breach (“fuga” di dati in un ambiente non protetto);
insufficiente coinvolgimento di un Data protection officer;
insufficiente Data processing agreement (contratto tra titolare e responsabile del trattamento).
In sintesi, quindi, le sanzioni possono essere fatte risalire a un’errata modalità di gestione dei dati da parte del titolare o a una scorretta procedura di prelievo, archiviazione e protezione.
Il GDPR prevede l’applicazione di sanzioni pecuniarie fino a 10 milioni di euro per i singoli e fino al 2% del fatturato dell’esercizio precedente per le imprese, nel caso in cui: siano violate le condizioni relative al consenso dei minori; si riscontri un trattamento illecito dei dati personali; non sia notificata all’Autorità Nazionale competente o sia comunicata in maniera errata un eventuale data breach; sia violato l’obbligo di nomina del Data protection officer; venga meno l’applicazione delle misure di sicurezza.
Le sanzioni di natura pecuniaria possono crescere fino a 20 milioni di euro per i singoli e fino al 4% del fatturato dell’esercizio precedente per le imprese, nel caso in cui non venga rispettato un ordine imposto dall’Autorità nazionale competente relativo ad un trattamento oppure i dati personali vengano trasferiti illecitamente in un Paese extra UE.
Inoltre, anche nel caso in cui l’Autorità Garante decidesse di non sanzionare in via amministrativa, potrebbe ricorrere a sanzioni correttive, come: avvisare o ammonire il titolare o il responsabile del trattamento nel caso in cui le modalità previste possano violare le norme o lo abbiano fatto; ordinare al titolare o al responsabile del trattamento di conformare i trattamenti alle norme o di soddisfare le richieste dell’interessato di esercitare i propri diritti; limitare, sospendere o vietare il trattamento; ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali; revocare le certificazioni se i requisiti non sono soddisfatti; ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Oltretutto i danni derivabili non sono soltanto di tipo economico. Hanno un peso notevole anche le ripercussioni in termini di danno alla reputazione, in particolare per le realtà medio-grandi. La cattiva pubblicità, infatti, può portare investitori e clienti a ritenere una certa società o impresa non attenta alla privacy dei clienti.
Comments