Nel 2019 in Europa sono state comminate sanzioni per violazione della privacy e del GDPR per 410 milioni di euro. L’Italia è prima in classifica per numero di provvedimenti.

Nel mese di aprile 2019, dopo un anno dall’entrata in vigore del GDPR, le sanzioni per i violatori sono diventate effettive. Novità rispetto al passato:

• Le multe sono diventate molto più severe, fino a un massimo di 20 milioni di euro per i singoli o del 4% del fatturato annuo per le aziende
• Non si multa più solo chi, tramite violazione del regolamento europeo sulla privacy, abbia causato un danno ad altri, ma anche chi ha mancato di attuare adeguate norme preventive e di sicurezza
• I casi più gravi possono prevedere sanzioni penali
• Il violatore è obbligato a risarcire i danni che ha causato con l’inadempienza

Le violazioni privacy sanzionate

Sono punite l’acquisizione non espressamente autorizzata di dati personali, il loro trattamento illecito, la loro mancata protezione da eventuali violazioni esterne, la diffusione non autorizzata di dati personali e in generale la mancata osservanza delle norme stabilite dal Garante Privacy (tra cui quelle sull’informativa da fornire a tutti gli interessati).

Le multe tengono conto di tre fattori contestuali fondamentali:

• Natura della violazione (ad es. più grave se riguarda i minori o i dati super-sensibili)
• Gravità della violazione (ad es., più grave se espone gli interessati a pericoli o danni)
• Durata della violazione

L’obiettivo primario è la sensibilizzazione e la responsabilizzazione dei cittadini e delle aziende europee. Per questo, parallelamente all’entrata in vigore del GDPR sono state organizzate dai Garanti di tutto il continente degli appuntamenti formativi e informativi.

Il bilancio 2019

Da un’indagine FederPrivacy emerge che sono 190 i provvedimenti attuali nei Paesi dello Spazio Economico Europeo (SEE) nel 2019, per un totale di circa 410 milioni di euro di multe. Al primo posto c’è l’Italia, con 30 sanzioni da circa 4 milioni di euro complessivi. Al secondo posto l’autorità spagnola con 28 provvedimenti e al terzo quella rumena (20 provvedimenti).

Il primato per la nazione con multe più salate va invece alla Gran Bretagna, che da sola costituisce il 76% dell’ammontare (circa 312 milioni di euro), pur avendo comminato poche sanzioni.

Ecco le violazioni più comuni registrate quest’anno:

• Trattamento illecito dei dati personali (ad es. per scopi di marketing, qualora non espressamente autorizzati): 44% dei casi
• Mancata o insufficiente protezione della privacy o dei dati (ad es. per la mancata applicazione di sistemi informatici di sicurezza): 18% dei casi
• Mancato rispetto dei diritti degli interessati (ad es. alla modifica o cancellazione dei propri dati personali forniti in precedenza): 13% dei casi
• Informativa sulla privacy mancante o non adeguata agli scopi (ad es. in caso di telecamere finte installate nelle aziende, che prevedono comunque l’obbligo dei cartelli informativi): 9% dei casi

I data breach, ossia le effettive perdite di dati personali (dovute indistintamente a incidenti informatici o vere e proprie violazioni) costituiscono il 9% delle sanzioni.

Questi dati sono utili per inquadrare l’andamento del primo periodo del GDPR, ma anche per riflettere su quanto privati e aziende abbiano davvero chiara la questione privacy e conoscano le proprie possibilità e responsabilità in materia.

Nuovi incontri formativi verranno organizzati anche quest’anno proprio per aiutare gli interessati a prendere dimestichezza con il tema ed evitare future mancanze, nella speranza di evitare nuove violazioni dettate dalla mancata conoscenza (o comprensione) degli obblighi.