Terminato il periodo di transizione che ogni Autorità Garante ha concesso alle imprese per adeguarsi alle nuove previsioni normative in tema di tutela e protezione dei dati personali (Reg. EU 2016/679), non sono mancati i primi controlli e, con essi, anche le prime sanzioni.
Ad oggi le visite ispettive registrano una crescita media europea del 106% rispetto al mese di Dicembre 2019 che ha chiuso il bilancio degli illeciti rilevati a quota 155. L’atteggiamento prudente ma costante dei principali organi di controllo si dimostra in linea con quanto disposto dal Regolamento, secondo cui le sanzioni devono essere effettive, proporzionate e dissuasive.
Ad oggi tutte le Autorità di controllo Europee (Gran Bretagna inclusa) hanno emesso almeno un provvedimento per un totale sanzionatorio di circa 490 milioni di Euro.
La Spagna si aggiudica il primato per il maggior numero di illeciti rilevati e sanzionati (117 per un totale di 3,3 milioni di Euro) mentre l’autorità più severa si è dimostrata la Gran Bretagna che a seguito dei recenti sviluppi delle vicende Marriot International e British Airways si attesta al primo posto con un totale di 315 milioni di Euro, pari al 64% dell’intero ammontare sanzionatorio europeo.
Tra le infrazioni più spesso rilevate si sottolineano: trattamenti illeciti di dati personali (quasi nella metà dei casi); adozione di misure di sicurezza insufficienti o non adatte; inadeguatezza o carenza dell’informativa Privacy; violazione dei diritti degli interessati e mancato rispetto delle disposizioni in materia di violazione dei dati (Data Breach).
L’Autorità Garante Italiana rimane, nel complesso, una delle più attive con 16 sanzioni emanate per un importo complessivo di 57 milioni di Euro inflitti principalmente a danno della Pubblica Amministrazione e del settore delle telecomunicazioni (27,5 milioni di Euro è stata la multa inflitta a TIM, oggi al quarto posto dopo Google nella lista delle società maggiormente colpite dall’Authority).
Non sono mancate, però, pronunce meno gravi da parte dagli organi di controllo a danno di imprese ben meno strutturate e che hanno avuto ad oggetto (ad es.) impianti di videosorveglianza non a norma o non autorizzati, Data Breaches e violazione dei diritti degli interessati.
Alla luce di quanto emerge dai primi studi, le Autorità Europee hanno eseguito controlli ispettivi senza tuttavia eccedere nel numero e nella misura delle relative sanzioni; lo scopo appare chiaro: garantire un’applicazione del Regolamento che sia quanto più progressiva e graduale nel settore pubblico ma soprattutto in quello privato (che, lo ricordiamo, è stato colpito da circa il 51% provvedimenti sanzionatori emessi).
La rapita crescita di controlli ed ispezioni dimostra un’attenzione puntale alla tutela dei dati personali, il che dovrebbe spingere le aziende che non si siano ancora adeguate a prendere i provvedimenti più opportuni in linea con quanto previsto dal GDPR.
