Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Violazioni GDPR, tutti i motivi dei ritardi nell’applicazione delle sanzioni

In Italia non si è ancora proceduto a pieno regime all’applicazione delle sanzioni per non aver rispettato il GDPR. Tra le cause, il periodo di indulgenza verso chi non si è adeguato per bene, abbinato alla necessità di rinnovare il collegio del Garante della privacy

08 Ago 2019
D

Monica Di Paolo

Consulente privacy, DPO


A più di un anno dall’entrata in vigore del Regolamento Europeo sulla protezione dei dati personali, lo scenario di applicazione del GDPR in Italia procura diverse perplessità. All’indomani della sanzione di 150.000 euro comminata dall’Autorità Garante per la protezione dei dati personali Ellenica ad un datore di lavoro per uso illegittimo dei dati personali dei propri dipendenti, l’Italia sembra essere rimasta uno dei pochi Paesi europei a non aver ancora applicato a pieno regime il Regolamento Europeo sulla protezione dei dati personali.

Nonostante il generale aumento di segnalazioni e di data breach rispetto all’anno precedente infatti, l’Italia ha un risultato mediocre paragonato agli altri paesi europei e si posiziona a metà classifica con sole 610 violazioni rilevate nel 2018. Analizziamo la possibile motivazione di tale ritardo.

I controlli e il periodo di indulgenza

Innanzi tutto bisogna rilevare un generale approccio moderato tenuto sinora dalle Autorità Garanti per la protezione dei dati personali europee che sono state abbastanza “morbide” nell’esecuzione di controlli per la verifica dell’adeguamento al GDPR e delle relative sanzioni. Infatti le novità applicative introdotte dalla nuova normativa sulla privacy a partire dal 25 Maggio 2018 ed il repetino aumento della mole di lavoro da parte delle Autorità Garanti Europee, hanno comportato un graduale inizio dell’attività di enforcemant ed una modesta attività ispettiva e sanzionatoria.

Infatti, ad esclusione della multa da 50 milioni di euro comminata a Google da parte del CNIL (Autorità Garante Francese), le altre sanzioni rilevate ai sensi del GDPR in Europa sono risultate sinora abbastanza temperate. In particolare in Italia è stato espressamente previsto un periodo di indulgenza sanzionatoria disciplinato nel decreto legislativo 101/2018 per i primi 8 mesi di applicazione della nuova normativa sulla protezione dei dati personali durante i quali l’Autorità Garante ha comminato 2 sanzioni amministrative: una da 50.000 euro all’Associazione Rousseau relativamente alla piattaforma utilizzata per il voto on line per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, ed un’altra sanzione di 16.000 euro ad un medico per trattamento illecito di dati personali che, con tutta probabilità, sarebbero state estremamente più salate se non mitigate ai sensi del dlgs. 101/18. La ratio di tale periodo “di grazia” risiedeva presumibilmente nell’incentivazione del processo di adeguamento al GDPR da parte di aziende pubbliche e private e di tutti gli obbligati ai sensi di legge, andando incontro alle difficoltà tecnico organizzative e strutturali di compliance by design del Regolamento Europeo.

Le conseguenze

È evidente però che tale periodo non è stato sufficiente e abbia prodotto con tutta probabilità un effetto boomerang di rallentamento al processo di adeguamento alla normativa sulla privacy: oggi la situazione generalmente rilevata nella maggior parte delle Pubbliche Amministrazioni italiane è abbastanza desolante e, nonostante dati più positivi vengano rilevati nel privato in complessi più strutturati, risulta ancora tanto da fare nelle piccole e medie imprese.

Dal 20 Maggio 2019 è ufficialmente terminato il periodo di indulgenza sanzionatoria dell’Autorità Garante per Protezione dei dati personali concesso dall’art. 22, co.13 del dlgs.101/18 che avrebbe dovuto dare il via ad una piena applicazione sanzionatoria così come prevista dalla normativa sulla protezione dei dati personali senza più sconti per il periodo di prima applicazione della legge. Vale la pena ricordare l’asprissimo impianto sanzionatorio previsto dal GDPR che comprende:

  • sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato aziendale (mondiale);
  • responsabilità civile nei confronti degli interessati per danni materiali o immateriali causati da qualsiasi violazione del GDPR;
  • sanzioni penali

Inoltre è necessario sottolineare che, unitamente all’eventuale sanzione, c’è la possibilità in carico agli interessati dei trattamenti, di avanzare istanze per la tutela dei propri diritti direttamente al titolare del trattamento che, in caso di inottemperanza o mancato riscontro delle richieste ricevute, darà la possibilità di proporre un Reclamo al Garante o un Ricorso all’Autorità Giudiziaria con le relative implicazioni economiche.

La scadenza del collegio

Ma, a ritardare ulteriormente l’attività di enforcement, è intervenuta la scadenza del collegio dell’Autorità Garante per la protezione dei dati personali che il 19 giugno scorso ha terminato il suo settenato che avrebbe dovuto portare all’elezione dei nuovi componenti. Tale rinnovo è però slittato a “data da definirsi” e nel frattempo il “vecchio” Garante è rimasto in carica in regime di prorogatio fino al prossimo 18 Agosto 2019 con la possibilità di svolgere una limitata attività amministrativo-burocratica relativamente agli atti indifferibili ed urgenti e di ordinaria amministrazione.

Nonostante la sollecitazione del Presidente dell’Autorità Garante ai Presidenti delle Camere affinché si procedesse alla calendarizzazione dell’elezione del nuovo collegio, tutto ancora tace. Il rischio è che se non si riuscissero ad eleggere i nuovi componenti dell’Autorità entro il termine dei 60 giorni previsti dalla proroga si sarebbe costretti a rimediare con una previsione normativa che conceda la possibilità di un’ulteriore prolungamento in carica del vecchio Garante fino all’elezione del nuovo collegio.

Tale prospettiva sarebbe assolutamente da scongiurare in quanto comporterebbe un’ulteriore blocco nell’attività di enforcemant dell’Authority compromettendo la tutela dei diritti dei cittadini e l’esecuzione delle proprie funzioni. Infatti il pregiudizio derivante dall’ulteriore ritardo relativamente all’adozione di importanti provvedimenti non solo a livello sanzionatorio ma anche e soprattutto nella regolamentazione specifica rinviata ai singoli stati membri, sarebbe decisamente grave.

Conclusioni

Da un punto di vista opportunistico, questi ritardi per alcune realtà potrebbero rappresentare un vantaggio consentendo ancora oggi di iniziare l’attività di adeguamento alla normativa europea per la protezione dei dati personali nelle more dell’elezione del nuovo collegio dell’Autorità Garante e dell’inizio effettivo della sua attività.

Infatti prima o poi il sistema sanzionatorio inizierà ad ingranare ed il rischio è che avendo avuto un periodo maggiore del previsto per adeguarsi alla normativa europea sulla protezione dei dati personali, venga presentato il conto di tutta l’indulgenza concessa sinora. L’attività di adeguamento al Regolamento Europeo sulla protezione dei dati personali è lunga e complessa, ma iniziarla potrebbe in ogni caso concedere una valutazione positiva in termini di somministrazione di una eventuale sanzione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5