Quando è entrata in vigore la legge europea per il GDPR (di cui abbiamo ampiamente parlato su questo blog), uno dei primi aspetti su cui si è posto l'accento è stato quello delle sanzioni. Nel momento in cui si sono poste le basi per la definizione del nuovo quadro normativo, infatti, si sono anche dovute definire le sanzioni da comminare in caso di mancata ottemperanza alla legge. Su questo, la legge concede ai singoli Stati la libertà di decidere metodologie di controllo e entità delle multe attraverso i propri organi preposti alla vigilanza (tipo il Garante della Privacy italiano, per intenderci), sulla base del proprio ordinamento giuridico. Ne consegue un'ovvia disomogeneità nella gestione della materia all'interno del territorio europeo, ma all'avvicinarsi della fine di un anno particolare come è stato il 2020 è già possibile trarre delle conclusioni.

Il metro di giudizio europeo

Come abbiamo accennato, il GDPR conferisce ampia libertà alle Autorità dei vari Paesi per valutare le violazioni alla norma e le relative sanzioni. L'articolo 83 definisce però delle linee guida, per orientarsi sull'opportunità e sull'ammontare della multa da infliggere. I punti da tenere in considerazione sono:

1. natura, gravità e durata della violazione;
2. carattere doloso o colposo della violazione;
3. misure adottate per attenuare il danno subito dagli interessati;
4. grado di responsabilità del titolare o responsabile del trattamento;
5. eventuali precedenti violazioni;
6. grado di cooperazione con l’Autorità di controllo;
7. categorie di dati personali interessate dalla violazione;
8. modalità in cui l’Autorità di controllo ha preso conoscenza della violazione;
9. rispetto di precedenti provvedimenti ai sensi dell’art. 58 dell’Autorità di controllo;
10. adesione ai codici di condotta o meccanismi di certificazione;
11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso tra cui, ad esempio, l’eventuale beneficio finanziario conseguito o le perdite evitate quale conseguenza della violazione.

Come è evidente, il margine di discrezionalità è molto alto. Il Regolamento inoltre definisce un massimo di importo (10.000.000 €, o per le imprese, il 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore per le violazioni di cui all’art.83 comma IV; 20.000.000 €, o per le imprese, il 4 % del fatturato mondiale totale annuo dell’esercizio precedente per le violazioni di cui all’art.83 comma V), ma non un minimo. Di conseguenza, ogni Stato si comporta un po' come ritiene opportuno.

Le sanzioni GDPR in Italia, il record del 2020

Il 2020 che si avvia a conclusione è il primo anno in cui il GDPR è pienamente ed effettivamente in vigore per tutta l'EU. È già possibile quindi iniziare a capire cosa hanno fatto vari Stati. Finbold ha stilato una classifica delle sanzioni per mancato rispetto del GDPR elevate in ambito europeo e i risultati sono a dir poco sorprendenti. Trovate l'intera indagine qui (in inglese), ma vi riportiamo la graduatoria ordinata in base agli importi complessivi:

L'Italia si aggiudica il primo posto per distacco, elevando sanzioni per un importo sei volte maggiore della seconda classificata, la Svezia. Spagna scatenata per il numero delle multe, che però hanno un ammontare complessivo sensibilmente più basso. La privacy sembra essere un concetto relativo sulle sponde del Mediterraneo? In realtà, questa classifica dimostra innanzitutto l'efficacia delle normative che sono state recepite e applicate praticamente da tutti i paesi. In secondo luogo, evidenzia come le Autorità preposte al controllo siano più attive e attente che mai.

Questo risponde a una domanda che ci sentiamo spesso fare quando proponiamo la nostra consulenza per l'adeguamento al GDPR: "ma volete che vengano a controllare proprio me?".....eh si! Come vedete, può succedere a tutti. Per evitare di incorrere in provvedimenti che possono diventare un problema per la vostra azienda, occorre controllare che tutto quello che concerne il GDPR sia a posto ed eventualmente porre rimedio. Se non sapete come fare, contattateci!