Cosa dicono i numeri delle multe per il Gdpr

Aumentano il numero di sanzioni e il loro valore

Il report pubblicato dallo studio legale Dla Piper sulle sanzioni emesse ai sensi del Gdpr e le notifiche di data breach offre un’istantanea di ciò che è successo nel mondo della privacy durante gli ultimi 12 mesi con segnali contrastanti.

L’importo complessivo delle sanzioni emesse da parte dei garanti privacy dello Spazio economico europeo più la Gran Bretagna ai sensi del Gdpr dal 25 maggio 2018 è di 272,5 milioni di euro, con 158,5 milioni di sanzioni negli ultimi 12 mesi.

Questo dimostra come, nonostante l’emergenza Covid-19, l’attività delle autorità di protezione dei dati personali non si sono fermate. La sanzione emessa ai sensi del Gdpr più alta fino ad oggi rimane di 50 milioni imposti nei confronti di Google dall’autorità sulla protezione dei dati personali francese, il Cnil, per presunte violazioni del principio di trasparenza previsto dal Gdpr e per la mancanza di un valido consenso.

Il Garante della privacy italiano è in cima alla classifica per il valore totale delle sanzioni emesse dall’inizio dell’applicabilità del Gdpr con più di 69,3 milioni, seguito dalle autorità privacy tedesche e francesi. È interessante notare che queste sanzioni non derivano dalle violazioni che normalmente prendono le prime pagine dei giornali, come i data breach conseguenti a un cyber attacco. Le sanzioni più elevate italiane sono tutte collegate al trattamento dei dati personali derivante da attività di telemarketing, dalla validità del consenso raccolto dagli interessati al trasferimento dei dati dai cosiddetti data broker alle società nel cui interesse il telemarketing è svolto, al controllo sulla corretta operatività dei call center.

È vero che la posizione assunta dal garante in queste controversie è quantomeno discutibile, come sono discutibili i criteri seguiti per il calcolo delle sanzioni applicabili. La metodologia seguita dal garante non è chiara e si sa solo che per le sanzioni più elevate è stato considerato lo 0,2% del fatturato della società. Questa incertezza ha un impatto operativo per le aziende che hanno difficoltà a quantificare l’effettiva portata del “rischio privacy” conseguente ad una violazione.

Gli altri numeri

Sono quantomeno singolari inoltre le sanzioni emesse dal garante privacy inglese, l’Information commissioner office (Ico), che ha pubblicato due avvisi della propria intenzione di emettere sanzioni per un importo complessivo di 382 milioni nel luglio 2019 per poi ridurre l’importo delle stesse a 22,2 milioni e 20,4 milioni. Su tale riduzione ha avuto un notevole peso la circostanza che le società oggetto di contestazione operano nel settore turistico e dei trasporti che ha già pagato un prezzo carissimo a causa dell’emergenza Covid-19. Una simile posizione tollerante non è stata presa però da altri garanti europei e questa circostanza potrebbe essere solo una delle prime che dopo la Brexit differenzieranno l’applicazione dei principi del Gdpr in Gran Bretagna dal modo in cui sono applicati nello Spazio economico europeo.

Per quanto riguarda il numero di notifiche di data breach, in aggregato ci sono state più di 281mila notifiche di violazione dei dati personali dall’inizio dell’applicazione del Gdpr, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per il numero di violazioni dei dati notificate alle autorità di regolamentazione. Francia e Italia, paesi con una popolazione di oltre 67 milioni e 62 milioni di persone rispettivamente, hanno registrato invece solo 5.389 e 3.460 notifiche di nello stesso periodo, illustrando le differenze culturali nell’approccio alla notifica delle violazioni.

Non c’è dubbio che il numero ridotto di notifiche di data breach in Italia si spiega anche nel livello di attenzione che il nostro garante pone sui contenuti nelle notifiche che, sulla base della mia esperienza, sono spesso seguite da una richiesta di informazioni da parte del garante. Il timore che inizi un procedimento di contestazione che potrebbe portare a una sanzione funge evidentemente da deterrente per le aziende, senza pensare però che la mancata notifica può ulteriormente aumentare il valore della potenziale sanzione.

Non ritengo che ogni data breach debba portare ad una notifica al Garante perché questo è in contrasto con il dettato del Gdpr e il principio dell’accountability. Tuttavia, prima di decidere di non notificare un data breach, la società deve essere in grado di giustificarlo sulla base di un report che certamente il garante richiederà in caso di indagine. In questo compito, un notevole aiuto è fornito dal nuovo servizio di autovalutazione dei data breach lanciato di recente dal Garante, ma ci sono anche tool di legal tech forse più strutturati e in grado di fornire un esito più dettagliato.

Fonte: FONTE WIRED