Alcuni accenni alle sanzioni

Il GDPR è il Regolamento generale sulla PROTEZIONE DELLE PERSONE FISICHE, con riguardo ai loro dati personali.

Il regolamento prevede che si definisca “titolare del trattamento” sia una persona giuridica sia fisica, come da art. 4:

“7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali dati personali;”

Il titolare è obbligato a seguire il regolamento se utilizza anche solo un archivio contenente dati personali, di qualunque tipo. Sempre al citato art. 4 del GDPR è

“1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”

Per “forzare” i titolari del trattamento a seguire le regole enunciate nella norma, il legislatore Europeo, attraverso lo strumento del Regolamento UE che ha una valenza di maggior rilievo rispetto alle leggi nazionali, ha adottato una serie di sanzioni, con carattere proporzionale, efficace e dissuasivo, indicate all’art. 83 che possono arrivare al limite massimo di 20.000.000 di euro o al 4% del fatturato.

All’atto pratico, come prassi abbastanza normalizzata, il Garante della Privacy Italiano, che ricordiamo essere l’autorità di controllo che agisce per conto del Garante europeo, prima di irrorare una sanzione pecuniaria valuta molteplici aspetti, sia positivi che negativi, tenuti dal titolare del trattamento.

In particolare, sono ritenuti molto gravi le seguenti mancanze:
– non nominare un DPO (Data Protection Officer) quando richiesto dalla normativa;
– mancare di avere un Registro dei trattamenti;
– trattare dati sensibili (come quelli sanitari) senza i dovuti accorgimenti;
– la mancanza dell’uso di adeguati sistemi di sicurezza a protezione dei dati personali.

A seguire ci sono mancanze come le Informative privacy carenti o non idonee, l’uso non consono del consenso, l’impiego di liste di nominativi non conformi, etc.

Uno dei modi con i quali il Garante della Privacy valorizza una sanzione è FORTEMENTE legato al numero di persone ai quali i dati si riferiscono. Si è spesso visto comminare sanzioni tra i 20 e 40 euro per ogni nominativo coinvolto.

La formula è sintetizzabile in: gravità della violazione X importo base per persona interessata X numero di persone interessate.

Quello più eclatante tra le sanzioni comminate, non dall’autorità Italiana, è quella a Facebook di 4 Miliardi di dollari, valore ottenuto dalla moltiplicazione del numero di utenti per il valore assegnato al singolo.

Ma anche quella del medico di medicina generale che ha utilizzato i dati di ex pazienti (quindi di dati già in suo lecito possesso) per l’invio di promozioni politiche, sanzione comminata pari a 16.000 euro.

Gli illeciti poi nel campo delle telecomunicazioni ammontano a decine di milioni di euro di sanzioni.

Un Comune dimentica di oscurare i dati personali di terzi su di un documento, sanzione di 5 mila euro. Non ultima la Regione Veneto sanzionata per 100.000 euro.

Va ricordato poi che oltre alla sanzione, il titolare deve porre rimedio alla violazione, reiterando la quale si entra nel campo del penale, oltre al blocco di qualunque trattamento di dati personali.

Da ultimo è opportuno ricordare essere ormai terminato il periodo cuscinetto, nel quale il Garante ha ribadito tener conto della novità normativa nell’applicazione del valore delle sanzioni.

created 2023-02-06-02-05-24