Il GDPR dopo un anno: a che punto siamo?
Ad oltre un anno dalla piena efficacia del Regolamento generale sulla protezione dei dati (GDPR) e dal conseguente interesse suscitato sul tema anche nell’opinione pubblica, giungono quasi ogni giorno notizie di stampa relative all’applicazione di sanzioni da parte di Autorità di Controllo nazionali per violazioni della normativa in materia di protezione dei dati personali: è di questi giorni la notizia dell’accordo raggiunto dalla Federal Trade Commission [FTC] con Google sulla sanzione pecuniaria che quest’ultima dovrà pagare per aver spiato gli utenti più piccoli di YouTube in violazione delle leggi federali statunitensi. Si tratta di un accordo che prevede l’obbligo per Google di versare 136 milioni di dollari alla FTC e 34 dovuti allo Stato di New York che – tramite il proprio procuratore generale – ha anch’esso sostenuto la contestazione.
Abbiamo cercato di analizzare quante, di quale tipologia e di quale importo siano le sanzioni applicate nell’Unione Europea dalle singole Autorità di controllo nazionali per violazioni del GDPR di cui siamo riusciti sino ad ora ad avere notizia.
L’esame effettuato su quasi ottanta provvedimenti di cui si è stato possibile prendere visione ha evidenziato che le Autorità di Controllo nazionali più “attive” risultano al momento essere quella tedesca, quelle della Repubblica Ceca e dell’Ungheria, e a seguire quella della Bulgaria, dell’Austria e della Spagna.
La natura delle violazioni
Le violazioni di cui ai provvedimenti sopra menzionati riguardano per la maggior parte il mancato rispetto dei principi applicabili al trattamento di dati personali ex art. 5 GDPR, l’utilizzo di basi giuridiche per il trattamento inappropriate (art. 6 GDPR) ovvero il mancato rispetto degli obblighi informativi ai sensi degli artt. 13 e 14 GDPR.
Non mancano tuttavia numerose sanzioni (ne abbiamo contate quasi una ventina, ivi compresa quella applicata dal Garante per la Protezione dei Dati Personali Italiano nell’aprile scorso all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento) per la mancata attuazione di adeguate misure di sicurezza tecniche ed organizzative (art. 32 GDPR).
È presente inoltre già qualche sanzione relativa al mancato rispetto degli obblighi previsti in capo al Titolare del trattamento in caso di violazione dei dati (artt. 33 e 34 GDPR) così come un provvedimento sanzionatorio per la mancata realizzazione di DPIA (art. 35 GDPR), uno per mancata nomina del DPO (art. 37 GDPR) e qualche provvedimento relativo al mancato rispetto di un diritto degli interessati previsti (in prevalenza del diritto di accesso ex art.15 GDPR).
I soggetti sanzionati (in prevalenza Titolari dei trattamenti, ma anche – come detto – Responsabili del trattamento) non risultano essere solo grandi multinazionali (ad es. Google Inc., VODAFONE ESPANA SAU), ma anche associazioni sportive, scuole e Comuni oltre che persone fisiche (un allenatore, un sindaco, un poliziotto e alcuni privati cittadini), questi ultimi soprattutto per illecito trattamento di dati tramite l’uso di sistemi di videosorveglianza.
Quanto costa il disallineamento con la GDPR?
L’ordine di grandezza delle sanzioni passa da 300,00 a 50.000.000,00 Euro, in proporzione alla tipologia e gravità della violazione contestata nonché del soggetto sanzionato.
Pare quindi che allo stato nessuna categoria sia sfuggita a provvedimenti sanzionatori, senza tenere conto del fatto che le Autorità di controllo possono aver rivolto a Titolari e/o Responsabili del trattamento altresì avvertimenti (nei casi in cui abbiano riscontrato che i trattamenti possono verosimilmente violare le disposizioni del GDPR) ovvero solo ammonimenti (nei casi in cui si sia ritenuto tale provvedimento sufficiente sebbene i trattamenti abbiano violato dette disposizioni).
In Italia il quadro normativo si è finalmente quasi completato e il periodo di moratoria previsto risulta essersi esaurito: da maggio sono iniziate le ispezioni. Vedremo quindi nel giro di qualche tempo l’esito di tale attività di controllo anche nel nostro Paese.