L'analisi

Sanzioni GDPR, maglia nera all’Italia nel 2020: ecco errori e sfide da affrontare

L’Italia ha totalizzato circa 46 milioni di euro di sanzioni per violazioni del GDPR, secondo i dati di Finbold: la categoria più multata è quella delle aziende Telco. Emerge come vi sia ancora superficialità nell’approccio alla data protection da parte delle imprese, una situazione che però offre spunti per migliorarsi e trasformare la compliance al regolamento in un punto di forza

27 Ago 2020
C
Anna Cataleta

Senior Partner P4I – Partners4Innovation


Stando ai rilievi di Finbold con il ragguardevole totale di ben 45.609.000 euro di sanzioni pecuniarie l’Italia si è guadagnata il gradino più alto del podio nella classifica dei Paesi maggiormente multati ai sensi del GDPR nel 2020. I numeri di questo primato, letti acriticamente potrebbero dare ai più una visione parziale del fenomeno che dal 2016 sta infiammando i CdA di tutta Europa (e non solo). Il contesto infatti presenta sfide per le aziende, ma anche opportunità per quelle realtà che si dimostreranno in grado di trasformare gli aspetti legati alla compliance in punti di forza.

Le categorie più sanzionate

Intanto analizzando la situazione, il primo aspetto da notare sono le categorie di soggetti sanzionati, la classifica mostra che sia a livello nazionale che europeo a ricevere le pene pecuniarie più alte sono state le imprese appartenenti ad una categoria assai delicata sotto il profilo “data protection” quello delle Telco, cui seguono gli operatori Over-The-Top e nello specifico Google sanzionato dall’Autorità Belga per ben 7 milioni di euro.

Ma le Telco non vincono la proverbiale maglia nera solo sotto il profilo dell’ammontare delle sanzioni ma anche sotto quello del numero di soggetti oggetto delle attenzioni delle Data Protection Authorities Europee. Nell’elenco spiccano, tristemente, anche altre tre compagini di soggetti: quelli appartenenti: al mondo bancario-assicurativo, della sanità e – nota dolente – delle Amministrazioni Pubbliche. Ciò che ictu oculi parrebbe esser evidente è una duplice constatazione: coloro che per il ruolo svolto e per la delicatezza dei dati trattati dovrebbero rappresentare dei modelli virtuosi in materia “privacy” sembrano essere i meno diligenti; l’aspetto positivo, però, è che i Garanti Europei (e, visti i risultati di questo wall of shame, quello Italiano in particolare) non sembrano disposti a lasciar correre considerando l’intensità dei controlli, la complessità dei provvedimenti da questi derivanti e l’entità delle sanzioni di volta in volta erogate.

Cresce la consapevolezza dei cittadini

L’altra, inevitabile, evidenza emersa dall’indagine di Finbold è l’elemento di difformità da cui le reprimende dei Garanti si sono originate: “vince” la rilevazione di quella che nel gergo data protection viene definita “insufficiente o carente legittimazione del trattamento” seguita a stretto giro dal mancato rispetto dei diritti degli interessati e dai temuti “data breach”. Possiamo trarre anche in questo caso due conclusioni. La prima è banalmente tragica nella sua gravità: ciò che emerge è che colposamente o dolosamente si tende a trattare con sufficienza i principi fondamentali del Regolamento, ovvero quelli che vanno a garantire “il cuore” del GDPR ovvero la trasparenza informativa e il conseguente controllo degli interessati sui propri dati. Anche in questo caso la seconda conclusione porta con se elementi positivi: i cittadini stanno man mano sviluppando un livello di consapevolezza sempre più alto divenendo soggetti attivi, informati e capaci di influenzare i “mostri sacri” della c.d. “data economy” con l’inevitabile mediazione e supporto delle Istituzioni.

La classifica rappresenta in ogni caso un segnale preoccupante che non tiene, peraltro, conto della vera e propria tempesta perfetta che sta per abbattersi in Europa a seguito degli ormai famosi “101 reclami” frutto del caso Schrems II. L’affair che porta il nome dell’ormai noto attivista austriaco Maximilian Schrems e che dalle Corti Europee ha investito in maniera dirompente anche le potenti multinazionali USA è l’esempio, forse più chiaro, di come il framework normativo data protection messo in piedi dal Legislatore UE abbia fatto nascere migliaia di piccoli Davide pronti a scagliare il loro strale contro le superpotenze della data economy.

Lo scenario futuro

Il finale di questa parabola potrebbe essere drammatico per le imprese ma non privo di “happy ending” per tutti coloro che sono dotati di capacità di adattarsi all’inevitabile cambiamento e sfruttarlo per creare nuovi punti di forza e di eccellenza. Ciò significa che per imprese e professionisti del settore i prossimi mesi imporranno una riflessione rigorosa sulle strategie di compliance da adottare nell’immediato per limitare i rischi di eventuali sanzioni ma anche che nuovi filoni d’oro potrebbero emergere a seguito di questo vero e proprio terremoto nell’economia dei dati. La posta in gioco è alta, lo dicono i numeri, mai come oggi così chiari nel dipingere un quadro sfidante ma non privo di nuove nicchie di opportunità alla portata di chi vorrà bilanciare saggiamente l’attenzione per regole in materia data protection e gli inevitabili interessi economici e d’impresa, pur sempre meritevoli di tutela.

L’opportunità più facile da “afferrare”, diretta conseguenza della Sentenza Schrems II, è quella del proliferare di server e cloud made in Europe sui le menti imprenditoriali più pioneristiche stanno già investendo e che trovano il sostegno di tecnici e professionisti di fama nel mondo data protection. All’orizzonte non mancano le occasioni per le aziende di tutti i tipi e dimensioni di trasformare la complessa normativa privacy in un fiore all’occhiello, in un valore aggiunto che può fare e farà la differenza a livello concorrenziale non solo in Europa ma in tutto il Mondo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4