Sanzioni in materia di privacy, cosa rischiano le aziende?

Attenzione ad una materia complessa che bisogna rispettare

0
216
Legge sulla privacy
Legge sulla privacy

A seguito dell’emanazione del nuovo Gdpr in materia di privacy, analizziamo come hanno recepito le aziende le innovazioni richieste ed in quali sanzioni e conseguenze possono incorrere se non rispettate.

Dopo l’entrata in vigore nel nostro ordinamento del regolamento europeo 679/2016 per la protezione dei dati personali con il D.lgs 101/2018, solamente il 23% delle aziende, secondo diversi studi di istituti statistici, si è adeguata alle modifiche introdotte dal Gdpr (general data protection regulation). Questo ritardo va spesso di pari passo con l’aggiornamento dei sistemi informatici riguardo ad esempio la portabilità dei dati personali: si tratta delle procedure di registrazione dei nostri dati all’interno di portali virtuali come Twitter o Instagram ed il trasferimento di questi da un sito all’altro, del procedimento si fa carico la piattaforma e non l’utente. In più con l’aumento dell’informazione sulla gestione dei dati e ricorsi proposti, anche attraverso canali legali, da utenti singoli od in gruppo come le class action ha sempre di più spostato l’attenzione dell’opinione pubblica su questa materia. Ad oggi sempre più consumatori prima di utilizzare un app od un programma si informano sulla gestione o cessione dei propri dati a terzi. Quindi una falla nell’archiviazione o pubblicazione di questi comporta un grosso danno d’immagine che si può ripercuotersi sull’accaparramento di nuovi clienti.

Il procedimento dell’aggiornamento alle ultime normative per la privacy quindi non deve essere valutato solamente sotto il profilo del costo ma anche su quello dell’investimento nella formazione dei propri lavoratori in maniera tale che attraverso una tutela corretta dei dati personali i clienti stessi saranno maggiormente attratti nell’uso di una piattaforma piuttosto che altra. Pertanto imprese e professionisti rischiano sotto un duplice profilo commerciale e sanzionatorio amministrativo. Infatti, rimane ferma la possibilità da parte degli utenti di rivolgersi al Garante qualora vi fosse un utilizzo scorretto dei loro dati, con l’eventualità da parte dell’azienda di vedersi inflitti salate multe.

Il Gdpr previsto dall’UE prevede sia sanzioni amministrative che penali all’art. 63, alle quali l’Italia nella sua legge di adozione della privacy si rifà appieno confermando quanto già previsto nel vecchio codice della privacy, e lasciando il potere di controllo alla Guardia di Finanza per alcune questioni. Le sanzioni saranno irrogate seguendo i criteri di effettività, proporzionalità e contrasto, così da svolgere anche un ruolo preventivo oltre che esclusivamente punitivo volto ad evitare la reiterazione del comportamento scorretto, come previsto negli art 83 e 84 del Gdpr. L’intervento sanzionatorio, non sarà più a posteriori ma bensì applicabile già nel momento in cui si verifica la violazione della norma, utile ad evitare un cattivo utilizzo dei dati presi in gestioni dall’azienda o dal professionista. Tali sanzioni potranno arrivare fino ad un massimo di 10/20 milioni di euro oppure potranno essere pari al 2% o 4% del fatturato dell’anno precedente per le imprese, e sono determinate in base alla tipologia di violazione compiuta. Quindi si potrà arrivare ad irrogare una sanzione dell’entità di 10 mln di euro o 2% del fatturato se non venisse comunicata: una breccia all’interno dei sistemi di gestione dei dati all’Autorità Garante; si violino le condizioni sul consenso dei dati riguardanti minori oppure che vengano semplicemente trattati in maniera illecita i dati personali degli utenti.

E’ comminabile invece una sanzione fino a 20 mln di euro o 4% del fatturato per le imprese: se vi fosse un trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante. Mentre assumono carattere penale quelle violazioni che riguardano: trattamento illecito dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante.

Per tali condotte è previsto sin dal 2003 una reclusione sino a 6 anni. Inoltre, l’Autorità Garante di controllo ha il potere di irrogare sanzioni tra cui: avvertimenti al titolare o al responsabile del trattamento sul fatto che le procedure messe in atto possono violare le norme e conseguenti ammonimenti se questi abbiano poi effettivamente violato le norme; potere di ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti e conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per ottenere ciò; potere di imporre una limitazione provvisoria o definitiva al trattamento, o sospenderlo o vietarlo; ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali; potere di revoca delle certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti; infliggere sanzioni amministrative pecuniarie; ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Invece i controlli da parte della Guardia di Finanza sono iniziati subito dopo l’armonizzazione del Gdpr all’interno del nostro ordinamento attraverso il d.lgs 101/2018 ed hanno ad oggetto adempimenti obbligatori e fondamentali come: nomina del DPO, il responsabile della protezione dati; controlli sulle misure previste in caso di violazione di dati causati non solo da situazioni estreme ma anche in quei casi ordinari di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito); il registro dei trattamenti: la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza valuta le misure per la tutela della privacy messe in atto. Tutti i provvedimenti adottati dalle sopra citate Autorità di controllo possono essere impugnati innanzi all’Autorità Giudiziaria. Vista la gravosità delle sanzioni amministrative è importante predisporsi al più presto al fine di prevenire una violazione della privacy ed offrire al cliente la più ampia protezione e trasparenza nella gestione dei suoi dati.

Avv. Francesco Turchi (francesco.turchi@aol.com)