Relazione annuale 2019 Garante privacy: le principali sanzioni
Nella relazione annuale 2019 pubblicata il 23 giugno 2020, il Garante privacy dedica ampio spazio al tema delle sanzioni. Si tratta infatti di dare evidenza al primo periodo di applicazione del regime sanzionatorio previsto dal Regolamento UE 2016/679 (GDPR).
L’Autorità garante descrive i principali casi per cui sono state irrogate sanzioni amministrative; fattispecie che hanno ad oggetto trattamenti per i quali il Garante aveva già annunciato, attraverso la pubblicazione del piano ispettivo, vi sarebbero stati controlli e verifiche.
Tra le sanzioni più elevate troviamo gli 8,5 milioni di euro irrogati a una società del settore energetico per trattamenti illeciti nelle attività di telemarketing e teleselling e i 28 milioni irrogati a una nota compagnia telefonica. Quest’ultima, ad oggi, risulta essere la sanzione più elevata nella storia del Garante, pur considerato il periodo di prima applicazione delle sanzioni previste dal GDPR.
Un settore, quello del telemarketing, in cui il numero delle segnalazioni è in continua crescita e i cui illeciti non sembrano arrestarsi. Per questo l’Autorità garantisce massimo impegno nel continuare a lavorare su tale fronte e sulle relative attività ispettive.
Non mancano i riferimenti alle sanzioni irrogate a società private in ambito sanitario, come la sanzione pari a 8.000 euro comminata a un’azienda sanitaria che aveva illecitamente comunicato a un fornitore i dati personali e relativi alla salute dei suoi pazienti.
Una sanzione di 16.000 euro è stata invece comminata a un medico che aveva utilizzato gli indirizzi di circa 3.500 ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali, senza il consenso degli interessati.
Oggetto di sanzione anche le attività degli enti pubblici, 10.000 euro per un illecito trattamento di dati giudiziari.
Nuove sanzioni in Europa e le recenti indicazioni della Commissione Europea
Coerentemente con il piano ispettivo del Garante privacy italiano, anche a livello europeo massima attenzione è dedicata alle società che rientrano nel settore del “Food Delivery”.
Pari a 25.000 euro la sanzione irrogata il 9 giugno 2020 dall’Autorità Garante privacy spagnola (AEPD) a una società leader del settore per non aver provveduto alla nomina del Data Protection Officer. Una figura che secondo l’Autorità spagnola era necessaria considerata la natura dei trattamenti posti in essere dal Titolare, la tipologia e la quantità di dati personali trattati.
Sul potere sanzionatorio delle Autorità garanti europee si è pronunciata anche la Commissione Europea con il rapporto del 24 giugno 2020 relativo ai primi due anni di applicazione del Regolamento UE 2016/679 (GDPR). La Commissione osserva come le Autorità garanti stiano irrogando sanzioni amministrative che vanno da alcune migliaia di euro a diversi milioni, a seconda della gravità delle infrazioni, evidenziando tuttavia come persistano approcci non armonizzati e uno scarso utilizzo di alcuni meccanismi previsti dalla normativa, come le investigazioni congiunte.
Cosa aspettarsi per il futuro
Ciò che emerge dal quadro descritto è che si è entrati nel vivo dell’applicazione della nuova normativa europea e del conseguente regime sanzionatorio. Con la fine del 2019 sembra concludersi il periodo transitorio, diventa quindi sempre più determinante il ruolo dei Data Protection Officer e dei consulenti privacy che hanno il compito di accompagnare le aziende in un processo di adeguamento che sia in grado di evitare ai Titolari l’irrogazione di sanzioni che, come scritto dall’Autorità garante italiana nella relazione annuale, risultano di particolare rilievo rispetto al passato.
