domenica, 12 luglio 2020

Articoli

2020 odissea nelle sanzioni: con il GDPR non si scherza più

24/03/2020

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy

Gli antichi latini usavano dire adhuc sub iudice lis est per dire che la questione è ancora sottoposta al giudice che deve decidere, ma applicando questo motto alla data protection ci si accorge che, ad oggi, in realtà sono già terminate diverse istruttorie dinanzi all’Autorità Garante per la protezione dei dati personali che attendono solo la quantificazione del quantum della sanzione. Il tema dell’applicazione del regolamento UE 679/2016 sotto il profilo del regime sanzionatorio sarà il leitmotiv dell’anno appena iniziato.

A prova che l’argomento è già caldo, basta citare le due recenti sanzioni che il nostro Garante (cfr. Comunicato stampa del 17 gennaio 2020) ha applicato a Eni Gas e Luce (Egl), per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.

Quantum?

La prima sanzione di 8,5 milioni di euro (provv. 11 Dicembre 2019 n.232) riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Gdpr. La seconda sanzione di 3 milioni di euro (Provv. 11 Dicembre 2019, n. 231) riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Egl. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa.

Ci attendono tempi duri

Sicuramente la nostra Autorità tornerà a far parlare di sé e (purtroppo) scalerà la classifica europea sulle Autorità garanti che hanno elevato più sanzioni. Infatti sul punto il recente studio prodotto dallo Studio Legale Dla Piper, che ha preso in esame le sanzioni rese pubbliche dalle Autorità Garanti dal 25 maggio 2018, ha evidenziato che, a fronte di complessivi 114 milioni di euro di multe per violazione del GDPR, la Francia occupa il primo posto con la multa di 50 milioni irrogata dal CNIL a Google, seguita dalla Germania (24,5 milioni di euro di sanzioni), e terza l’Austria con 18,1 milioni. L’Italia è al quarto posto con i suoi 11, 5 milioni di euro.

Siamo più ligi o non notifichiamo?

Dallo studio (Fonte Ansa) si evince che nei venti mesi considerati, i 28 Paesi membri, più Norvegia, Islanda e Liechtenstein, hanno totalizzato 160.921 violazioni di dati personali segnalate dalle aziende alle autorità competenti, con casi di varia gravità che vanno dalle mail inviate all’indirizzo sbagliato fino ai grandi cyber-attacchi. I tre Paesi che hanno notificato più violazioni sono Olanda (40mila), Germania (37mila) e Regno Unito (22mila). L’Italia è undicesima con 1.886 segnalazioni. Guardando alle segnalazioni pro capite, l’Italia è terzultima, seguita solo da Romania e Grecia. Stando allo studio legale, “l’esempio italiano dimostra che sebbene il Gdpr si applichi in tutta Europa, la sua interpretazione e applicazione da parte dei regolatori varia in modo ampio, rendendo l’ottemperanza una sfida per le organizzazioni multinazionali”.

A buon intenditor...

Alla luce di quanto sopra, e considerato che mancanze apparentemente non gravi come l’assenza o l’inidoneità dei c.d. cartelli sulla videosorveglianza, o il mancato rispetto dell’articolo 4 sul controllo a distanza previsto dallo Statuto dei lavoratori comportano rispettivamente la violazione dell’articolo 13 del Regolamento e dell’articolo 114 del nostro nuovo Codice privacy e conseguentemente la violazione di principi base del Regolamento UE 679/2016 (art. 5), è forse il caso di correre ai ripari. Non rimane che concludere dicendo “Chi ha tempo non aspetti tempo” e “a buon intenditor poche parole”.



Tutti gli articoli