GDPR: Le prime sanzioni
Decorso il periodo transitorio della cosiddetta “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, è giunto il momento delle verifiche e dei controlli nonché dell’irrogazione delle prime sanzioni amministrative.
Da una prima analisi compiuta fino ad oggi si può rilevare che sono state irrogate quasi 56 milioni di euro di sanzioni nel primo anno per violazioni del GDPR in Europa. Le Autorità di controllo, ovvero i Garanti Privacy in Europa, stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni, in modo conforme a quanto prevede il regolamento stesso, secondo cui le sanzioni devono essere ‘effettive, proporzionate e dissuasive’, ma soprattutto devono rispettare il denominatore comune dell’Accounbtability, principio cardine del GDPR.
Dalle analisi effettuate emerge che è stata la Francia il Paese che ha sanzionato di più le aziende per violazioni del regolamento europeo sulla privacy, seguita da Portogallo, Polonia, Danimarca e Italia.
Tra queste prime sanzioni, solamente quella inflitta dal Garante per la tutela dei dati personali francese a Google può dirsi eccezionale, sia perché di importo in assoluto più alto (50 milioni di euro), sia perché di particolare risalto mediatico.
Secondo una survey diffusa a Roma lo scorso 30 maggio dallo Studio Legale internazionale DLA Piper, prendendo in considerazione il periodo fra la fine di maggio 2018 e la fine di gennaio 2019, guidavano la classifica sul numero di notifiche di violazioni di dati personali (Data Breach), l’Olanda con 15.000, la Germania con 12.600 e il Regno Unito con 10.600.
Tuttavia, rileva la DLA Piper in una nota, per avere un’effettiva contezza di questi dati, si deve tener conto del numero elevato di procedimenti regolati dalla precedente normativa che si sono chiusi negli ultimi mesi. Le decisioni dei garanti europei ai sensi del GDPR dei prossimi 12 mesi è probabile che saranno di gran lunga maggiori viste le numerose ispezioni che sono al momento in corso.
Come abbiamo visto, dunque, le prime sanzioni non sono tardate ad arrivare. Le Autorità Nazionali per la tutela dei dati personali hanno agito in modo tale da assicurare il rispetto del GDPR senza però punire eccessivamente i titolari sanzionati con lo scopo di garantire una graduale e progressiva applicazione del Regolamento europeo e di orientare, ai fini preventivi, titolari e responsabili verso una corretta applicazione del GDPR.
Alla luce di queste riflessioni le aziende europee, e nel nostro caso quelle italiane in particolar modo, dovrebbero celermente fare tesoro di tali provvedimenti e allo stesso tempo far proprio il concetto di Accountability, avendo la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta, ma cosa più importante dovrebbero avere l’accortezza di adeguarsi il prima possibile a mettere in atto tutte le opportune prassi operative e di sicurezza al fine di adottare i provvedimenti più idonei e opportuni.
Business Defence, per la tipologia di attività svolta, è da sempre molto sensibile al tema della protezione dei dati personali, motivo per il quale ancor prima che entrasse in vigore la normativa del GDPR 679/2016, ha deciso di impostare e gestire un SGSI - Sistema di Gestione della Sicurezza delle Informazioni seguendo lo standard ISO 27001.
Sempre e solo con l’obiettivo di operare con la massima trasparenza e liceità a garanzia dei propri clienti.
Fonte: Feder Privacy/BD Business Defence