gdpr-410-milioni-di-sanzioni-nel-2019

Gdpr: 410 milioni di sanzioni nel 2019

Federprivacy analizza trenta paesi dello Spazio Economico Europeo mettendo in evidenza attività di controllo a due velocità in Europa. L’Italia è al primo posto per numero di provvedimenti, mentre il Regno Unito si distingue per la severità di azione. Mancano all’appello gli interventi da parte di Irlanda e Lussemburgo, dove risiedono molte multinazionali straniere che trattano dati personali su larga scala

Ammontano a circa 410 milioni di euro le sanzioni che sono state inflitte lo scorso anno in 190 procedimenti condotti dalle autorità europee di controllo per la protezione dei dati personali. È il risultato di uno studio dell'Osservatorio di Federprivacy in cui sono state analizzate le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo (SEE).
Se il Gdpr ha assunto ormai piena efficacia da oltre un anno e mezzo con multe che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dei trasgressori, d'altra parte il rapporto evidenzia che vi sono autorità di controllo che attendono ancora di irrogare le prime sanzioni con il Regolamento Ue.

Le authority tra severità e ritardi
Nella graduatoria delle autorità più attive lo scorso anno per numero di sanzioni, l'Italia è al primo posto con 30 provvedimenti per un totale di 4.341.990 euro. Seguono l'autorità spagnola (Aepd) con 28 sanzioni e al terzo posto quella romena (Anspdcp) con 20 sanzioni comminate.
L'autorità più severa in assoluto è risultata quella del Regno Unito (Ico), che ha erogato poche multe ma "pesanti", per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame.Tra le autorità di controllo che non hanno ancora irrogato sanzioni dopo l'entrata in vigore del Gdpr, vi sono anche quelle di Irlanda e Lussemburgo, dove hanno la propria sede europea la maggior parte delle multinazionali straniere che trattano dati personali su larga scala.
Il presidente di Federprivacy Nicola Bernardi evidenzia un “controllo a doppia velocità”, citando il caso inglese dove l’Authority “ha multato pesantemente British Airways e Marriot, mentre la sua vicina omologa irlandese, benché sia autorità capofila competente per diversi colossi della tecnologia, non ha inflitto ancora nessuna sanzione”.

Le infrazioni più sanzionate
Riguardo alle cause delle sanzioni, nel 44% dei casi si fa riferimento al trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza. Altre sanzioni sono state determinate dalla omessa o inidonea informativa (9%) o dal mancato rispetto dei diritti degli interessati (13%), mentre il 9% delle sanzioni sono scattate a seguito di incidenti informatici e "data breach".
I settori che risultano più colpiti sono la pubblica amministrazione con il 17% del totale delle multe, e le telecomunicazioni con 28 procedimenti sanzionatori (14,7%) sul totale dei 190 comminati nel 2019.
Guardando invece il valore economico complessivo delle sanzioni, la Pubblica Amministrazione è solo al 6° posto. Il settore più colpito è stato quello dei trasporti (quasi il 50% del totale delle sanzioni). I primi due settori (trasporti, alberghiero) hanno ricevuto il 74% delle multe inflitte.

Le sanzioni del Garante Italiano
Nonostante il Garante italiano per la privacy attenda da oltre sei mesi di rinnovare il collegio scaduto dal 19 giugno dello scorso anno, l'Authority guidata da Antonello Soro, attualmente in regime di prorogatio con poteri limitati alla gestione degli affari di ordinaria amministrazione e quelli indifferibili e urgenti, ha comunque continuato a svolgere regolarmente le proprie attività ispettive. Alla fine del primo semestre del 2019 - riferisce Federprivacy - aveva proceduto all'iscrizione a ruolo di 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro quando saranno completati i procedimenti sanzionatori.

Gdpr, restituire ai cittadini i propri dati personali
Per chi non se lo ricordasse, il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 in sigla RGPD (più noto con la sigla inglese GDPR) è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE), restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.

Gli obblighi per le aziende
Ai piccoli come ai grandi imprenditori è richiesto di seguire una serie di passi che vanno dall’analizzare il tipo di dati raccolti e la procedura attraverso cui vengono raccolti e elaborati e determinare i cambiamenti da applicare per essere conforme alle nuove regole, al richiedere il consenso esplicito dei clienti o visitatori a raccogliere i dati e inviare diversi tipi di comunicazioni. Ma non solo. Le aziende sono tenute a migliorare il livello di protezione dei dati garantito dall'allineamento ai principi del Gdpr, permettere di scaricare tutti i dati inseriti, verificare che i fornitori o subappaltatori rispettino i principi del Gdpr e, nel caso in cui non siano conformi, valutare se rimpiazzarli con altri conformi o stipulare degli accordi speciali che garantiscano il rispetto delle nuove regole. Tra gli obblighi informativi si richiede di specificare perché i dati vengono raccolti, come vengono elaborati e utilizzati, organizzare dei workshop, seminari o riunioni affinché tutti in azienda siano informati sulle nuove regole e le conseguenze per l'attività e le operazioni aziendali. E infine considerare l'assunzione di un Responsabile per la Protezione dei Dati soprattutto nel caso in cui il tipo di dati raccolti o il trattamento siano specifici.