L'APPROFONDIMENTO

I costi del GDPR, per le imprese ma soprattutto per le autorità nazionali: i possibili impatti

Il GDPR ha segnato una svolta di settore epocale garantendo un maggior controllo sui propri dati personali, ma non è privo di costi per le imprese e soprattutto per le autorità nazionali di protezione dei dati sia dal punto di vista economico sia da quello delle risorse disponibili per svolgere i loro compiti

31 Mag 2021
J
Roberto A. Jacchia

Avvocato, senior partner, Studio De Berti Jacchia

S
Marco Stillo

Associate, Studio De Berti Jacchia

Da quando è diventato applicabile il 25 maggio 2018, il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) ha segnato una svolta di settore epocale, non solo creando parità di condizioni per tutte le imprese che operano sul mercato europeo indipendentemente dal luogo in cui sono stabilite, bensì garantendo anche che tutti coloro che trattano dati personali nell’ambito della sua applicazione siano maggiormente responsabilizzati e responsabili.

Nonostante rappresenti uno strumento essenziale per garantire che le persone dispongano di un maggiore controllo sui loro dati personali e che gli stessi siano trattati per una finalità legittima, in maniera lecita, corretta e trasparente, tuttavia, il GDPR non è stato privo di costi.

A pagare questi ultimi sono state, in primo luogo, le imprese. Adeguarsi alle norme del GDPR, infatti, comporta costi non solo tecnologici, ma anche organizzativi. Oltre che per le imprese, tuttavia, il GDPR ha comportato diversi costi anche per le autorità nazionali di protezione dei dati dal punto di vista economico e soprattutto da quello delle risorse disponibili per svolgere i loro compiti.

L’impatto del GDPR sulle autorità nazionali

Le autorità nazionali di protezione dei dati svolgono un ruolo essenziale nel garantire che il GDPR sia applicato correttamente. Di conseguenza, l’incremento delle loro responsabilità ha comportato la necessità di maggiori risorse rispetto al passato.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Secondo quanto stabilito dall’articolo 52 del GDPR, ogni Stato membro deve provvedere affinché le rispettive autorità di controllo siano dotate delle risorse umane, tecniche e finanziarie nonché delle infrastrutture necessari per l’effettivo adempimento dei propri compiti e l’esercizio dei propri poteri, un obbligo che la Commissione ha più volte ribadito nel corso degli anni (da ultimo nella sua comunicazione del 24 giugno 2020).

Benché dal 2016 al 2019 la maggior parte delle autorità di controllo abbia effettivamente beneficiato di un aumento del personale e del bilancio, con picchi soprattutto per le autorità irlandesi e lussemburghesi in quanto le grandi multinazionali tecnologiche più importanti sono ivi stabilite, la situazione è tuttavia ancora estremamente disomogenea tra gli Stati membri.

Più particolarmente, dal 2019 il personale e il budget a disposizione delle autorità di controllo è aumentato solamente in misura marginale, non risultando sufficiente a consentire loro di svolgere i numerosi compiti che sono chiamate ad assolvere ai sensi del GDPR.

Ciò, a sua volta, le costringe ad affidarsi a consulenti e legali esterni per far fronte alla mole di lavoro, con un conseguente ulteriore aggravio del budget.

Le conseguenze a livello sanzionatorio

La mancanza di risorse sufficienti non ha comunque impedito alle autorità nazionali di intervenire nei confronti delle imprese sanzionandole per il mancato rispetto delle norme sulla privacy, ivi comprese quelle del GDPR, con ammende particolarmente consistenti.

In particolare, nel gennaio 2019 la Commissione nazionale francese per la protezione dei dati (Commission nationale de l’informatique et des libertés, CNIL) aveva inflitto a Google una multa pari a circa 50 milioni di euro per aver violato il GDPR:

  1. non avendo fornito agli utenti un avviso in una forma facilmente accessibile e con un linguaggio chiaro e semplice della necessità di configurare i propri dispositivi mobili secondo la piattaforma Android;
  2. non avendo ottenuto il consenso degli utenti al trattamento dei loro dati personali per scopi di personalizzazione degli annunci.

Nel gennaio 2020, inoltre, il Garante per la privacy italiano aveva irrogato a TIM una sanzione pari a circa 27 milioni di euro per numerosi trattamenti illeciti di dati legati all’attività di marketing, consistenti in chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora, malgrado il fatto che le persone contattate avessero espresso la volontà di non ricevere telefonate promozionali.

Più recentemente, e per motivi analoghi, Fastweb è stata sanzionata per un importo di circa 4,5 milioni. Infine, nell’ottobre 2020 l’Ufficio del Commissario britannico per l’Informazione (Information Commissioner’s Office, ICO) aveva sanzionato, da un lato, la British Airways per circa 20 milioni di sterline, per alcune lacune di sicurezza nel trattamento dei dati che avevano consentito a terzi di ottenere l’accesso non autorizzato alle informazioni personali e alle carte di credito di oltre 400.000 clienti e, dall’altro lato, la Marriott, per circa 18,4 milioni di sterline, relativamente ad un data breach che nel 2014 aveva causato la violazione dei dati di oltre 339 milioni di clienti in tutto il mondo.

Il nuovo approccio dei Tribunali nazionali

Negli ultimi tempi, tuttavia, diversi Tribunali nazionali hanno iniziato a riformare le decisioni dei regolatori o ridurre l’importo delle sanzioni, sollevando dubbi sulla disomogeneità di vedute tra autorità giudiziarie e di protezione dei dati in merito all’applicazione del GDPR.

Più particolarmente, in data 2 dicembre 2020 il Tribunale amministrativo federale austriaco ha annullato la sanzione pari a circa 18 milioni di euro inflitta alla Österreichische Post da parte dell’autorità per la protezione dei dati, per aver violato il GDPR elaborando i dati dei suoi clienti al fine di determinarne la loro presunta affinità politica.

Secondo il Tribunale, tuttavia, l’autorità non era riuscita a fornire, come richiesto da una recente legge nazionale austriaca, il nominativo della persona fisica a cui imputare la violazione del GDPR, non risultando pertanto in grado di identificare il soggetto che aveva deciso di svolgere le attività di trattamento non consentite.

In novembre 2020, il Tribunale amministrativo di Stoccolma ha ridotto da circa 7,3 milioni di euro a 5 milioni una sanzione inflitta da parte dell’autorità garante svedese contro Google per aver violato il diritto di oblio di un utente.

Nel febbraio 2021, il Tribunale regionale di Berlino aveva invalidato la multa pari a circa 14,5 milioni di euro inflitta dal Commissario per la protezione dei dati e della libertà di informazione contro la Deutsche Wohnen SE, per non aver predisposto misure volte a consentire la regolare cancellazione dei dati dei locatari che non erano più necessari.

Secondo il Tribunale, infatti, il Commissario non aveva sufficientemente specificato gli atti della società che avevano comportato la violazione del GDPR. Già nel novembre del 2020, il Tribunale Regionale di Bonn aveva ridotto del 90% una pena pecunaria imposta a 1&1 in ragione di errori della valutazione della situazione nella determinazione dell’ammontare della sanzione.

Considerazioni conclusive

Peraltro, questa nuova tendenza nel senso dell’annullamento o della riduzione delle sanzioni comminate alle imprese per le violazioni del GDPR crea grande incertezza giuridica e rischia di aggravare ulteriormente il problema della mancanza di risorse delle autorità nazionali di protezione dei dati per adempiere ai propri compiti.

Da un lato, al fine di garantire il pieno rispetto del GDPR, infatti, queste ultime potrebbero essere costrette ad impugnare le decisioni di primo grado, e, dall’altro, le imprese sono incoraggiate a fare ricorso più spesso contro i provvedimenti sanzionatori delle autorità, il tutto con ulteriori costi, tanto finanziari quanto di personale, così alimentando un circolo vizioso.

Un intervento dei Governi nazionali sarebbe pertanto auspicabile al fine di evitare che il GDPR perda di credibilità: infatti, se le autorità deputate a garantirne il rispetto non dispongono delle risorse necessarie, difficilmente i cittadini possano riporre in loro fiducia per una tutela efficace dei loro dati personali.

Non ultimo, un dispiegamento maggiore di risorse potrebbe scongiurare l’avvio di procedure di infrazione da parte della Commissione nei confronti degli Stati membri per la violazione degli obblighi derivanti dall’articolo 52 del GDPR ed in particolare il comma 4: “Ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato”.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr