L’Italia è il Paese con le sanzioni più elevate ai sensi del GDPR

Il report pubblicato da DLA Piper sulle sanzioni emesse ai sensi del GDPR e le notifiche di data breach offre un’istantanea di ciò che è successo nel mondo della privacy durante gli ultimi 12 mesi con segnali contrastanti per l’Italia.

L’importo complessivo delle sanzioni emesse da parte dei garanti privacy dello Spazio economico europeo più la Gran Bretagna ai sensi del GDPR dal 25 maggio 2018 è di € 272,5 milioni, con € 158,5 milioni di sanzioni negli ultimi 12 mesi. Questo dimostra come, nonostante l’emergenza Covid-19, l’attività delle autorità di protezione dei dati personali non si sono fermate.

La sanzione emessa ai sensi del GDPR più alta fino ad oggi rimane di € 50 milioni imposti nei confronti di Google dall’autorità sulla protezione dei dati personali francese, il CNIL, per presunte violazioni del principio di trasparenza previsto dal GDPR e per la mancanza di un valido consenso.

Il garante privacy italiano è tuttavia in cima alla classifica per il valore totale delle sanzioni emesse dall’inizio dell’applicabilità del GDPR con più di € 69,3 milioni in Italia seguito dalle autorità privacy tedesche e francesi. E’ interessante notare che le sanzioni più elevate emesse in Italia ai sensi del GDPR non derivano dalle violazioni che normalmente prendono le prime pagine dei giornali, come i data breach conseguenti ad un cyber attacco. Le sanzioni più elevate italiane sono tutte collegate al trattamento dei dati personali derivante da attività di telemarketing, dalla validità del consenso raccolto dagli interessati al trasferimento dei dati dai c.d. data broker alle società nel cui interesse il telemarketing è svolto, al controllo sulla corretta operatività dei call center.

La posizione assunta dal Garante in queste controversie è quantomeno discutibile, come sono discutibili i criteri seguiti per il calcolo delle sanzioni applicabili. La metodologia seguita dal garante non è chiara e si sa solo che per le sanzioni più elevate è stato considerato lo 0,2% del fatturato della società. Questa incertezza ha un impatto operativo per le aziende che hanno difficoltà a quantificare l’effettiva portata del “rischio privacy” conseguente ad una violazione.

Sono quantomeno singolari inoltre le sanzioni emesse dal garante privacy inglese, l’Information Commissioner Office (ICO), che ha pubblicato due avvisi della propria intenzione di emettere sanzioni per un importo complessivo di € 382 milioni nel luglio 2019 per poi ridurre l’importo delle stesse a € 22,2 milioni e € 20,4 milioni. Su tale riduzione ha avuto un notevole peso la circostanza che le società oggetto di contestazione operano nel settore turistico e dei trasporti che ha già pagato un prezzo carissimo a causa dell’emergenza Covid-19. Una simile posizione tollerante non è stata presa però da altri garanti europei e questa circostanza potrebbe essere solo una delle prime che dopo la Brexit differenzieranno l’applicazione dei principi del GDPR in Gran Bretagna dal modo in cui sono applicati nello Spazio economico europeo.

Per quanto riguarda il numero di notifiche di data breach, in aggregato ci sono state più di 281.000 notifiche di violazione dei dati personali dall’inizio dell’applicazione del GDPR, con Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) in cima alla classifica per il numero di violazioni dei dati notificate alle autorità di regolamentazione. Francia e Italia, Paesi con una popolazione di oltre 67 milioni e 62 milioni di persone rispettivamente, hanno registrato invece solo 5.389 e 3.460 notifiche di data breach  nello stesso periodo, illustrando le differenze culturali nell’approccio alla notifica delle violazioni.

Non c’è dubbio che il numero ridotto di notifiche di data breach in Italia si spiega anche nel livello di attenzione che il nostro Garante pone sui contenuti nelle notifiche che, sulla base della mia esperienza, sono spesso seguite da una richiesta di informazioni da parte del garante. Il timore che inizi un procedimento di contestazione che potrebbe portare ad una sanzione funge evidentemente da deterrente per le aziende, senza pensare però che la mancata notifica può ulteriormente aumentare il valore della potenziale sanzione.

Non è conforme al dettato del GDPR che ogni data breach debba portare ad una notifica al Garante perchè questo è in contrasto con il principio dell’accountability. Tuttavia, prima di decidere di non notificare un data breach, la società deve essere in grado di giustificarlo sulla base di un report che certamente il Garante richiederà in caso di indagine. In questo compito, un notevole aiuto è fornito dal nuovo servizio di autovalutazione dei data breach lanciato di recente dal Garante, ma ci sono anche tool di legal tech forse più strutturati e in grado di fornire un esito più dettagliato, come NOTIFY di DLA Piper.

Il report di DLA Piper sulle sanzioni emesse ai sensi del GDPR e le notifiche di data breach è disponibile QUI e discuteremo dei contenuti del report e di come preparare al meglio la propria azienda per evitare le sanzioni privacy del Garante in un webinar 16 febbraio 2021 i cui dettagli sono disponibili QUI.