Osservanza del GDPR e sanzioni. Il punto sull'applicazione della normativa
Dall'entrata in vigore del GDPR, il Report DLA Piper sulle violazioni del regolamento europeo sulla privacy ha raccolto 59.430 data breach. E le sanzioni?
Inutile negarlo, l’acronimo GDPR continua ad essere, soprattutto per le aziende digitali, un temibile spauracchio: Qualcosa di simile alla fantomatica strega di Blair incrociatasi con il vigile urbano cattivo, quello con il blocchetto sempre a portata di mano per le contravvenzioni.
Il legislatore europeo aveva terrorizzato società e Pubbliche Amministrazioni sulle sanzioni che sarebbero fioccate in caso di illegittima raccolta e trattamento dei dati personali delle persone fisiche e giuridiche. A cui sarebbero seguite poi salate contravvenzioni per chi non avesse rispettato il tanto sbandierato Diritto alla Riservatezza.
Alle minacce sono seguite le azioni?
Data Breach: male per Germania, Regno Unito e Paesi Bassi
Dal 25 Maggio 2018 (data di entrata in vigore del GDPR) ad oggi, il Report DLA Piper sulle violazioni del regolamento europeo sulla privacy ha raccolto 59.430 data breach.
Per data breach si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (se vuoi approfondire se ne è già parlato qui).
Secondo il GDPR, la notifica di eventuali violazioni di dati deve avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuti a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Secondo i dati del Report DLA (23 Paesi Ue su 28, cinque non hanno reso pubblici i dati), la maglia nera europea delle violazioni spetta a Germania, Regno Unito e Paesi Bassi che da soli rappresentano i due terzi di tutte le violazioni, con 38.600 data breach totali.
Le sanzioni: tante violazioni, ma poche multe
A fronte però del riscontro di queste violazioni, le Autorità preposte al controllo dell’applicazione della normativa hanno irrogato solamente 91 multe. Un ridottissimo numero di sanzioni, tra l’altro dal valore complessivo piuttosto basso.
Tra le multe più alte, infatti, escludendo il caso francese dei 50 milioni di euro che Google è stata chiamata a pagare dal Garante Privacy locale, troviamo quella applicata in Germania all’azienda che non ha protetto adeguatamente le password dei dipendenti, ammontante a 20 mila euro.
Quella da 4.800 euro inflitta ad un’azienda austriaca per il sistema di telecamere a circuito chiuso non autorizzato che dava sulla strada ed infine quattro multe cipriote del totale di 11.500 euro.
Come mai all’elevatissimo numero di violazioni individuate non hanno fatto seguito le opportune sanzioni?
Il motivo non va ricercato nella saggezza popolare. In questo caso “can che abbaia finirà per mordere”.
Ma ci troviamo ancora in piena fase di adeguamento della direttiva, tra nuovi ruoli, rallentamenti burocratici e intoppi di coordinamento.
Secondo lo studio citato c’è un grande lavoro arretrato da smaltire, e nel 2019 è previsto un aumento sensibile delle multe per violazione del GDPR, anche per centinaia di milioni di euro potenzialmente, non appena il lavoro arretrato sarà smaltito dai Garanti Privacy locali.
Potrebbe interessarti anche il punto di vista sull’argomento GDPR dell’avvocato Sergio Alberto Codella
Osservanza del GDPR e sanzioni. Il punto sull'applicazione della normativa